Хакеры активно используют новую уязвимость в Zyxel для удаленного выполнения произвольных команд
В современном мире кибербезопасности, где угрозы становятся всё сложнее, сетевое оборудование различных компаний становится основной целью хакеров. По последним данным, в устройствах серии Zyxel CPE обнаружена новая уязвимость (zero-day), зарегистрированная под номером CVE-2024-40891. В настоящее время она активно эксплуатируется злоумышленниками.
Данная уязвимость позволяет атакующим выполнять произвольные команды на уязвимых устройствах, что представляет собой серьёзную угрозу — компрометацию системы, кражу данных и нарушение сетевой безопасности.
По результатам исследований специалистов, более 1 500 устройств подвержены данной атаке, и на данный момент уязвимость не была официально раскрыта или исправлена.
Аналитики сообщают, что CVE-2024-40891 представляет собой уязвимость типа command injection (внедрение команд) в интерфейсе telnet устройств Zyxel CPE.
🔴 Хакеры используют сервисные учетные записи, такие как “supervisor” или “zyuser”, чтобы подключиться к устройству и отправить вредоносные команды.
🔴 Уязвимость связана с некорректной валидацией входных данных (improper input validation) в telnet-интерфейсе управления устройством.
🔴 Путём отправки специально сформированных telnet-запросов атакующие могут внедрять и выполнять произвольные системные команды.
Эта уязвимость особенно опасна, так как она полностью обходит механизм аутентификации. Хакерам не требуется вводить учетные данные или знать пароли для атаки.
Помимо этой проблемы, существует ещё одна похожая уязвимость CVE-2024-40890, но она работает через HTTP, в то время как CVE-2024-40891 эксплуатируется через telnet. Обе уязвимости крайне критичны, так как позволяют атакующим получить полный контроль над устройством.
Эксплуатацию CVE-2024-40891 подтвердили исследователи GreyNoise и VulnCheck.
🔎 GreyNoise зафиксировала попытки активного использования уязвимости в реальном времени.
🔎 VulnCheck 1 августа 2024 года уведомила своих партнёров о данной уязвимости, назвав её “Zyxel CPE Telnet Command Injection”.
Несмотря на это, Zyxel пока не выпустила официального уведомления или исправления для устранения данной проблемы.
Поскольку CVE-2024-40891 является критической уязвимостью, а патч пока недоступен, организациям необходимо немедленно принять меры:
✅ Мониторинг сети: Отслеживайте подозрительный трафик, направленный на telnet-интерфейс управления Zyxel CPE.
✅ Ограничение доступа: Разрешите доступ к административному интерфейсу только с доверенных IP-адресов.
✅ Отключение удаленного управления: Если telnet и другие функции удалённого администрирования не используются, их следует немедленно отключить.
✅ Отслеживание обновлений: Следите за официальными уведомлениями Zyxel и при появлении исправлений незамедлительно устанавливайте их.
✅ Управление жизненным циклом устройств: Прекратите использование оборудования, которое больше не получает обновлений и исправлений безопасности.
CVE-2024-40891 представляет серьёзную угрозу, поскольку уже активно эксплуатируется хакерами. Отсутствие необходимости в аутентификации делает уязвимость ещё более опасной, так как злоумышленники могут беспрепятственно выполнять команды на уязвимых устройствах.
Пользователи и компании, использующие Zyxel CPE, должны немедленно усилить меры безопасности, следить за несанкционированным трафиком и при первой возможности отключить telnet-интерфейс.
Если Zyxel выпустит исправление, его необходимо установить без промедления, так как уязвимость уже используется киберпреступниками в реальных атаках.
🔎 Кибербезопасность должна быть приоритетом!
