Хакеры используют критическую уязвимость командной инъекции в устройствах серии Zyxel CPE, которая отслеживается как CVE-2024-40891 и остается неисправленной с июля прошлого года.
Так как официальное обновление безопасности для устранения уязвимости отсутствует, системным администраторам рекомендуется принять следующие меры:
Эксплуатация уязвимости
По данным Greynoise, эта уязвимость схожа с CVE-2024-40890, связанной с протоколом HTTP. Однако компания Vulncheck подтвердила, что текущая эксплуатационная активность направлена именно на CVE-2024-40891, которая базируется на протоколе Telnet.На данный момент уязвимость не исправлена и не была официально раскрыта. Злоумышленники могут использовать её для выполнения произвольных команд на затронутых устройствах, что может привести к полному компромиссу системы, краже данных или инфильтрации сети.
Угрозы и рекомендации
Согласно отчетам Censys, более 1500 устройств серии Zyxel CPE доступны из интернета. Наибольшее количество таких устройств находится на Филиппинах, в Турции, Великобритании, Франции и Италии.Так как официальное обновление безопасности для устранения уязвимости отсутствует, системным администраторам рекомендуется принять следующие меры:
- Блокировка IP-адресов: попытайтесь заблокировать IP-адреса, с которых фиксируются попытки эксплуатации. Однако будьте готовы к атакам с других адресов.
- Контроль трафика: мониторьте сетевой трафик на наличие аномальных Telnet-запросов к интерфейсам управления Zyxel CPE.
- Ограничение доступа: предоставляйте доступ к административному интерфейсу только по заранее заданному списку разрешённых IP-адресов (Allowlist).
- Отключение удаленного управления: если функция удаленного управления не используется или не нужна, отключите её, чтобы уменьшить поверхность атаки.
