Старые роутеры Zyxel — срочно меняем из‑за уязвимостей
Если дома стоит «вечный» роутер Zyxel из прошлых лет, самое время проверить модель. В старых DSL‑устройствах обнаружены критические уязвимости (CVE‑2024‑40890, CVE‑2024‑40891 и CVE‑2025‑0890). Вендор признал: это продукты с завершённым циклом жизни, исправлений не будет. Исследователи уже видят попытки атак, а в сети насчитали не меньше полутора тысяч таких открытых устройств. Для обычного пользователя это означает риск захвата домашней сети: злоумышленники могут выполнить команды на роутере, подключить его к ботнету и перехватывать трафик.
Какие модели под угрозой
В список попали популярные домашние DSL‑серии, которые часто выдавали провайдеры много лет назад:
- VMG1312‑B10A / B10B / B10E
- VMG3312‑B10A, VMG3313‑B10A
- VMG3926‑B10B, VMG4325‑B10A, VMG4380‑B10A
- VMG8324‑B10A, VMG8924‑B10A
- SBG3300, SBG3500
Проблемы разные: пост‑аутентификационная командная инъекция через веб‑интерфейс и ошибки в Telnet‑настройках. Формально для эксплуатации нужен доступ под учётной записью администратора, но на практике пароли часто слабые, а удалённое управление когда‑то включили «для удобства» и так и оставили.
Почему это важно обычному человеку
Компрометированный роутер — это не только «медленный интернет». Злоумышленник может:
- подменять DNS и направлять вас на фишинговые сайты,
- следить за незашифрованным трафиком и собирать логины,
- подключить устройство к ботнету (привет, рассылки и DDoS),
- открыть путь к другим гаджетам в сети: ноутбуку, NAS, камерам.
Особенно уязвимы квартиры со «старым» оборудованием от провайдера: роутер ставили при подключении, он исправно работал — и про него просто забыли.
Что делать прямо сейчас
- Проверить модель на корпусе или в веб‑интерфейсе. Если она из списка — планируйте замену в ближайшее время.
- Пока ждёте новый роутер: отключите удалённое администрирование (WAN‑доступ), запретите Telnet и UPnP, оставьте только управление из локальной сети.
- Смените пароли администратора и Wi‑Fi, включите WPA2/WPA3, уберите «гостевые» пароли из памяти устройств.
- Проверьте прошивку: для этих моделей патчей не будет, но убедитесь, что стоят последние доступные версии.
- Позвоните провайдеру: если роутер выдан им, попросите замену или уточните режим «бридж» и совместимость с новым устройством.
Важно: на территории РФ покупка некоторых новых моделей и сервисная поддержка могут работать ограниченно. Операторы связи иногда используют собственные прошивки, поэтому сроки обновлений и замены зависят от конкретного провайдера; в России такие процессы обычно идут дольше.
Как выбрать замену и не пожалеть
- Поддержка и обновления: ищите вендора с регулярными патчами безопасности и открытыми бюллетенями.
- Авто‑обновления и отключённые по умолчанию Telnet/SSH: чтобы не «забыть» закрыть лишние сервисы.
- Современные стандарты: WPA3, изоляция гостевой сети, отдельная сеть для IoT.
- Совместимость с провайдером: для GPON может потребоваться отдельный ONT от оператора; для IPTV — поддержка нужных VLAN/IGMP.
Если у вас частный дом или небольшой офис, подумайте о связке «оптический терминал провайдера в режиме моста + собственный маршрутизатор». Так проще менять устройство и получать свежие функции без привязки к оператору.
Бизнесу и ИТ‑админам
Проведите инвентаризацию CPE, заблокируйте удалённое управление с интернета, добавьте правила IDS/IPS и сегментируйте Wi‑Fi для сотрудников и гостей. Устройствам со статусом EoL место в плановом списке замены — это такой же техдолг, как старые серверы.
Главное правило домашней кибербезопасности: «если железо больше не обновляется, оно уже не ваше — им пользуются злоумышленники».
Вывод простой: эти модели Zyxel честно отработали своё. Но время уходит — и лучше сменить роутер сейчас, чем объяснять банку и работе, почему ваши устройства внезапно «жили своей жизнью».
Ключевые слова: уязвимость роутера, Zyxel, безопасность Wi‑Fi, ботнет Mirai, Telnet, EoL, CVE‑2024‑40891, CVE‑2024‑40890, CVE‑2025‑0890, домашняя сеть, провайдер