CVE-2024-40891

Zyxel DSL CPE Devices

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-02-11

Официальное описание

Multiple Zyxel DSL CPE devices contain a post-authentication command injection vulnerability in the management commands that could allow an authenticated attacker to execute OS commands via Telnet.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-40891 представляет собой критическую уязвимость типа Command Injection (инъекция команд ОС) в устройствах Zyxel DSL CPE. Проблема локализована в интерфейсе управления командами.

Уязвимость возникает из-за недостаточной фильтрации входных данных в командах управления после прохождения аутентификации. Злоумышленник, имеющий доступ к учетной записи (даже с ограниченными правами), может внедрить произвольные системные команды через Telnet-сессию. Это позволяет полностью скомпрометировать операционную систему устройства, получить доступ к файловой системе и использовать роутер как плацдарм для атак внутри локальной сети.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление прошивки (firmware) до актуальной версии, в которой производитель закрыл брешь в безопасности.

  1. Перейдите на официальный портал поддержки Zyxel или в раздел загрузок для вашей модели устройства.
  2. Скачайте версию прошивки, выпущенную после июля 2024 года (или более позднюю, согласно таблице исправлений Zyxel).
  3. Установите обновление через веб-интерфейс управления:
Maintenance > Firmware Upgrade > Browse > Update
  1. После обновления убедитесь, что версия ПО соответствует исправленной. Список затронутых моделей включает серии VMG и DX, точные версии патчей уточняйте в Zyxel Security Advisory.

Временные меры

Если немедленное обновление прошивки невозможно, необходимо минимизировать векторы атаки, ограничив доступ к интерфейсам управления.

  1. Полностью отключите протокол Telnet, так как он передает данные в открытом виде и является вектором данной уязвимости. Используйте SSH (если доступно и исправлено) или только Web-интерфейс по HTTPS.
sys telnet server 0

  1. Ограничьте доступ к управлению устройством (ACL), разрешив его только с доверенных IP-адресов внутри локальной сети.

  2. Отключите возможность удаленного управления (Remote Management) со стороны WAN-интерфейса.

ip access-group 100 in
  1. Измените стандартные пароли всех учетных записей (admin, support, user) на сложные, чтобы предотвратить несанкционированный вход, необходимый для эксплуатации этой уязвимости.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей