El fabricante de hardware taiwanés Zyxel anunció que no lanzará un parche para dos vulnerabilidades explotadas activamente en múltiples productos Legacy DSL Custome Locals (CPE) Equipment. Estas vulnerabilidades, rastreadas como CVE-2024-40890 y CVE-2024-40891permiten a los atacantes ejecutar comandos arbitrarios, lo que lleva a un posible compromiso del sistema y exfiltración de datos.
Zyxel no parchará vulnerabilidades críticas en dispositivos DSL heredados
Startup de inteligencia de amenazas Greynoise reportado A fines de enero, las vulnerabilidades del día cero estaban siendo explotadas activamente, incluso por Botnets con sede en Mirai, lo que sugiere su uso en ataques a gran escala. Zyxel afirma que se dio cuenta por primera vez de estas vulnerabilidades el 29 de enero, después de la alerta de Greynoise con respecto a su explotación.
Vulncheck descubrió las vulnerabilidades en julio de 2024 y las informó a Zyxel en agosto del mismo año. Sin embargo, Zyxel no reveló los defectos hasta ahora, afirmando que los productos heredados afectados han alcanzado el estado de alerta (EOL) durante varios años. Los modelos afectados incluyen:
- VMG1312-B10A
- VMG1312-B10B
- VMG1312-B10E
- VMG3312-B10A
- VMG3313-B10A
- VMG3926-B10B
- VMG4325-B10A
- VMG4380-B10A
- VMG8324-B10A
- VMG8924-B10A
- SBG3300
- SBG3500
Zyxel más explicado que las funciones WAN Access y Telnet comúnmente explotadas para estas vulnerabilidades están deshabilitadas de forma predeterminada en estos dispositivos; Sin embargo, un atacante necesitaría iniciar sesión utilizando credenciales comprometidas para explotar los errores. La compañía señaló que debido a que el apoyo a estos modelos se detuvo hace años, no proporcionará parches para las vulnerabilidades.
Vulncheck indicó que muchos de los dispositivos vulnerables todavía están disponibles para su compra, a pesar de la designación de Zyxel de ellos como productos heredados. También destacaron que los dispositivos utilizan cuentas codificadas, lo que las convierte en objetivos fáciles para la explotación. Aproximadamente 1.500 dispositivos vulnerables permanecen expuestos a Internet, según Censys, un motor de búsqueda para dispositivos de Internet de las cosas.
Además de las vulnerabilidades antes mencionadas, Zyxel identificó una nueva vulnerabilidad, CVE-2025-0890, que permite a los atacantes acceder a la interfaz de administración utilizando las credenciales predeterminadas. El consejo de Zyxel a los clientes es reemplazar estos productos heredados con equipos de generación más reciente para una protección óptima.
Crédito de imagen destacado: Zyxel
