"Уязвимость CVE-2024-40891 в устройствах Zyxel CPE: Риски и последствия"

Компания Greynoise, специализирующаяся на кибербезопасности, сообщила о критической уязвимости CVE-2024-40891 в телекоммуникационных устройствах серии Zyxel CPE, которая до сих пор не устранена производителем. Эта уязвимость активно эксплуатируется злоумышленниками.

 

Эксплуатация уязвимости позволяет злоумышленникам выполнять произвольные команды на уязвимых устройствах, что может привести к полному контролю над системой, проникновению в сеть и утечке данных.

 

«Мы обнаружили значительное совпадение между IP-адресами, эксплуатирующими CVE-2024-40891, и теми, которые классифицируются как Mirai. Исследование последнего варианта Mirai показало, что способность эксплуатировать CVE-2024-40891 была включена в некоторые штаммы Mirai», — отметила компания.

 

О CVE-2024-40891

Впервые уязвимость CVE-2024-40891 была публично признана компанией VulnCheck, занимающейся анализом уязвимостей, в июле 2024 года. Однако спустя почти шесть месяцев она остается неисправленной и не упоминается Zyxel.

 

Злоумышленники обратили на это внимание и, по данным GreyNoise, пытаются использовать уязвимость на устройствах с выходом в Интернет. «Если бы эти попытки были предприняты против реальных уязвимых устройств, они бы стали успешными входами в систему», — сообщил представитель компании Help Net Security.

 

«CVE-2024-40891 очень похож на CVE-2024-40890 (наблюдаемые попытки аутентификации, наблюдаемые попытки внедрения команд), с основным отличием в том, что первый основан на telnet, а второй — на HTTP. Обе уязвимости позволяют неаутентифицированным злоумышленникам выполнять произвольные команды, используя учетные записи служб (supervisor и/или zyuser)», — пояснил Гленн Торп, старший директор Greynoise по исследованиям безопасности и инженерии обнаружения.

 

«Исследователи GreyNoise создали тег для этой проблемы 21 января 2025 года и работали с VulnCheck, чтобы координировать это раскрытие. Обычно раскрытие координируется с поставщиком, но из-за большого количества атак мы решили опубликовать это немедленно».

 

Предотвращение эксплуатации

Censys.io, веб-платформа для идентификации подключенных к Интернету активов, в настоящее время выявляет около 1500 уязвимых устройств, в основном на Филиппинах, в Турции и Европе.

 

Поскольку официального исправления для CVE-2024-40891 нет, организациям, работающим с этой уязвимостью, рекомендуется:

 

Разрешить подключения к административному интерфейсу устройств только с доверенных IP-адресов.

Отключить функции удаленного управления, если они не используются.

Следить за официальными каналами Zyxel на предмет объявлений об исправлениях и внедрять исправления, как только они станут доступны.

В сентябре 2024 года компания Zyxel выпустила исправления для критической и легко эксплуатируемой уязвимости внедрения команд в своих устройствах NAS, срок эксплуатации которых истек.

 

К сожалению, не все ее вмешательства были столь полезны: компания также недавно внедрила некоторые из своих брандмауэров цикл перезагрузки путем выдачи неисправного обновления подписи приложения. Цикл можно было прервать только путем физического подключения кабеля консоли / RS232 к устройству, его перезапуска и выполнения определенных действий после входа в режим отладки.