Le fabricant de quincaillerie taïwanais Zyxel a annoncé qu’il ne publierait pas de correctif pour deux vulnérabilités activement exploitées dans plusieurs produits Héritage DSL Customer Socus (CPE). Ces vulnérabilités, suivies comme CVE-2024-40890 et CVE-2024-40891permettez aux attaquants d’exécuter des commandes arbitraires, conduisant à un compromis potentiel du système et à l’exfiltration des données.
Zyxel ne réparera pas les vulnérabilités critiques dans les appareils DSL hérités
Startup de renseignement sur la menace Greynoise signalé Fin janvier, les vulnérabilités du jour zéro étaient activement exploitées, y compris par des botnets basés à Mirai, suggérant leur utilisation dans des attaques à grande échelle. Zyxel affirme qu’il a d’abord pris connaissance de ces vulnérabilités le 29 janvier, après l’alerte de Greynoise concernant leur exploitation.
Vulncheck a découvert les vulnérabilités en juillet 2024 et les a signalés à Zyxel en août de la même année. Cependant, Zyxel n’a pas divulgué les défauts jusqu’à présent, déclarant que les produits hérités touchés ont atteint le statut de fin de vie (EOL) pendant plusieurs années. Les modèles affectés comprennent:
- VMG1312-B10A
- VMG1312-B10B
- VMG1312-B10E
- VMG3312-B10A
- VMG3313-B10A
- VMG3926-B10B
- VMG4325-B10A
- VMG4380-B10A
- VMG8324-B10A
- VMG8924-B10A
- SBG3300
- SBG3500
Zyxel plus loin expliqué que l’accès WAN et les fonctions Telnet généralement exploités pour ces vulnérabilités sont désactivés par défaut sur ces appareils; Cependant, un attaquant devrait se connecter en utilisant des informations d’identification compromises pour exploiter les bogues. La société a noté que parce que le soutien à ces modèles a été interrompu il y a des années, il ne fournira pas de correctifs pour les vulnérabilités.
Vulncheck a indiqué que de nombreux appareils vulnérables sont toujours disponibles à l’achat, malgré les désignations de Zyxel en tant que produits hérités. Ils ont également souligné que les appareils utilisent des comptes codés en dur, ce qui en fait des cibles faciles pour l’exploitation. Selon Censys, un moteur de recherche pour les appareils Internet of Things.
En plus des vulnérabilités susmentionnées, Zyxel a identifié une nouvelle vulnérabilité, CVE-2025-0890, qui permet aux attaquants d’accéder à l’interface de gestion à l’aide des informations d’identification par défaut. Les conseils de Zyxel aux clients sont de remplacer ces produits hérités par un équipement plus récente pour une protection optimale.
Crédit d’image en vedette: Zyxel
