В продолжении этой новости
Zyxel опубликовала уведомление о нескольких уязвимостях, затрагивающих устаревшие модели DSL-устройств, включая инъекции команд и небезопасные стандартные пароли для функции Telnet. Уязвимости были обнаружены в моделях:
Что делать: Поскольку указанные модели устройств уже достигли статуса «конец срока службы» (EOL), Zyxel советует заменить их на новые поколения. Для пользователей, получивших устройства через интернет-провайдеров (ISP), следует обратиться в службу поддержки ISP.
Контактная информация: Если вы являетесь ISP, пожалуйста, свяжитесь с вашим представителем Zyxel для получения дополнительной информации или помощи. Для пользователей, приобретших устройства через ISP, рекомендуется обратиться в службу поддержки ISP.
Источник: Zyxel Security Advisory, CVE-2024-40890, CVE-2024-40891, CVE-2025-0890
Zyxel опубликовала уведомление о нескольких уязвимостях, затрагивающих устаревшие модели DSL-устройств, включая инъекции команд и небезопасные стандартные пароли для функции Telnet. Уязвимости были обнаружены в моделях:
- VMG1312-B10A
- VMG1312-B10B
- VMG1312-B10E
- VMG3312-B10A
- VMG3313-B10A
- VMG3926-B10B
- VMG4325-B10A
- VMG4380-B10A
- VMG8324-B10A
- VMG8924-B10A
- SBG3300
- SBG3500
- CVE-2024-40890 — уязвимость командной инъекции в CGI-программе устройств. Атакующий, получивший доступ, может выполнить команды ОС через специально сформированный HTTP POST-запрос. Важно, что WAN-доступ по умолчанию отключен, и атака возможна только в случае компрометации пароля пользователя.
- CVE-2024-40891 — уязвимость командной инъекции в командах управления через Telnet. Атака может быть осуществлена, если пароли пользователя были скомпрометированы, а Telnet активирован.
- CVE-2025-0890 — небезопасные стандартные пароли для Telnet в указанных моделях, что позволяет атакующему получить доступ к интерфейсу управления, если администраторам не удалось изменить стандартные пароли.
Что делать: Поскольку указанные модели устройств уже достигли статуса «конец срока службы» (EOL), Zyxel советует заменить их на новые поколения. Для пользователей, получивших устройства через интернет-провайдеров (ISP), следует обратиться в службу поддержки ISP.
Контактная информация: Если вы являетесь ISP, пожалуйста, свяжитесь с вашим представителем Zyxel для получения дополнительной информации или помощи. Для пользователей, приобретших устройства через ISP, рекомендуется обратиться в службу поддержки ISP.
Источник: Zyxel Security Advisory, CVE-2024-40890, CVE-2024-40891, CVE-2025-0890
Последнее редактирование модератором:
