ГлавнаяБаза уязвимостей БДУ → BDU:2025-01344
10критическая

BDU:2025-01344

Уязвимость микропрограммного обеспечения сетевых устройств Zyxel серии CPE, связана с использованием жестко закодированных учетных данных, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2025-02-11
Описание

Уязвимость микропрограммного обеспечения сетевых устройств Zyxel серии CPE связана с использованием жестко закодированных учетных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код, используя учетные данные по умолчанию

Затрагиваемое ПО и версии
Zyxel CPE Series
Способ устранения

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удаленного доступа к интерфейсу управления уязвимых устройств;
- использование «белого» списка IP-адресов для ограничения удалённого доступа к уязвимым устройствам;
- использование SIEM-систем для отслеживания событий журнала, связанных с получением telnet-трафика;
- ограничение возможности использования протокола telnet;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- ограничение доступа к устройствам из внешних сетей (Интернет).

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-command-injection-and-insecure-default-credentials-vulnerabilities-in-certain-legacy-dsl-cpe-02-04-2025
Проверьте безопасность своего сайта и почты → Полная проверка домена