Тайваньский производитель сетевого оборудования Zyxel сообщил о проблеме в прошивке ряда своих устройств. Речь идёт о критической уязвимости CVE-2025-13942 в функции UPnP, которая позволяет удалённо выполнять команды на уязвимом маршрутизаторе. Под удар попали модели 4G LTE/5G NR CPE, DSL/Ethernet CPE, оптические терминалы Fiber ONT и беспроводные расширители, сообщает Blleping Computer.
Атака возможна через специально сформированные UPnP SOAP-запросы. При этом Zyxel подчёркивает, что настройки по умолчанию несколько снижают риск: для атаки необходимо, чтобы на устройстве был включён доступ с WAN, отключённый по умолчанию. Тем не менее компания рекомендует всем пользователям установить свежие патчи с исправлениями.
Ранее Zyxel предупреждала, что не будет выпускать патчи для уязвимостей в устаревших маршрутизаторах — моделях VMG и SBG. Пользователям таких устройств советуют как можно скорее заменить их на более новые.
По данным сервиса Shadowserver, сейчас в интернете доступно около 120 тысяч устройств Zyxel, из них более 76 тысяч — маршрутизаторы. По собственным данным Zyxel, её сетевые решения используют более миллиона организаций в 150 странах. На этом фоне производитель призывает администраторов своевременно обновлять прошивки и при необходимости отключать неиспользуемые функции, в том ч��сле UPnP, чтобы снизить вероятность взлома.
