Тайваньский провайдер Zyxel выпустил обновления для устранения критической уязвимости (CVE-2025-13942) в ряде моделей маршрутизаторов, позволяющей удаленно выполнять команды без аутентификации. Уязвимость затрагивает функцию UPnP. — bleepingcomputer.com
Тайваньский сетевой провайдер Zyxel выпустил обновления безопасности для устранения критической уязвимости, затрагивающей более десятка моделей маршрутизаторов, которая может позволить неаутентифицированным злоумышленникам получить удаленное выполнение команд на необновленных устройствах.
Эта уязвимость внедрения команд, отслеживаемая как CVE-2025-13942, была обнаружена в функции UPnP маршрутизаторов Zyxel 4G LTE/5G NR CPE, DSL/Ethernet CPE, Fiber ONTs и беспроводных расширителей.
Zyxel заявляет, что неаутентифицированные удаленные злоумышленники могут использовать ее для выполнения команд операционной системы (ОС) на затронутом устройстве с помощью специально сформированных SOAP-запросов UPnP.
Однако атаки с использованием CVE-2025-13942, вероятно, будут более ограниченными, чем предполагает рейтинг серьезности, поскольку успешная эксплуатация требует, чтобы были включены доступ через UPnP и доступ через WAN, причем последний по умолчанию отключен.
“Важно отметить, что доступ через WAN по умолчанию отключен на этих устройствах, и атака может быть осуществлена удаленно только в том случае, если включены как доступ через WAN, так и уязвимая функция UPnP”, — заявила Zyxel. “Пользователям настоятельно рекомендуется установить исправления для поддержания оптимальной защиты”.
Во вторник Zyxel также устранила две уязвимости внедрения команд с высоким уровнем серьезности после аутентификации (CVE-2025-13943 и CVE-2026-1459), которые позволяют злоумышленникам выполнять команды ОС с использованием скомпрометированных учетных данных.
Надзорный орган по интернет-безопасности Shadowserver в настоящее время отслеживает почти 120 000 устройств Zyxel, доступных из Интернета, включая более 76 000 маршрутизаторов.
Устройства Zyxel часто становятся мишенью атак, поскольку они предоставляются многими интернет-провайдерами по всему миру в качестве стандартного оборудования при активации нового контракта на интернет-услуги.
Агентство по кибербезопасности и защите инфраструктуры США (CISA) в настоящее время отслеживает 12 уязвимостей Zyxel, затрагивающих маршрутизаторы, межсетевые экраны и устройства NAS компании, которые были или все еще активно эксплуатируются в реальных атаках.
Ранее в этом месяце Zyxel предупредила о том, что не планирует исправлять пару уязвимостей нулевого дня (CVE-2024-40891 и CVE-2024-40891), которые активно эксплуатируются в атаках и затрагивают устаревшие маршрутизаторы, все еще доступные для продажи в Интернете. Вместо этого компания “настоятельно” рекомендовала клиентам заменить свои маршрутизаторы на более новые продукты, прошивка которых уже исправлена.
“VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 и SBG3500 — это устаревшие продукты, срок службы которых истек (EOL) уже много лет”, — заявила Zyxel. “Поэтому мы настоятельно рекомендуем пользователям заменить их на продукты нового поколения для оптимальной защиты”.
Zyxel утверждает, что более 1 миллиона предприятий используют ее сетевые продукты на 150 рынках.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan