ГлавнаяБаза уязвимостей БДУ → BDU:2025-01350
10критическая

BDU:2025-01350 (CVE-2024-40891)

Уязвимость микропрограммного обеспечения сетевых устройств Zyxel серии CPE, существующая из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы, позволяющая нарушителю выполнять произвольные команды
Опубликовано: 2025-02-11
Описание

Уязвимость микропрограммного обеспечения сетевых устройств Zyxel серии CPE существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные команды с привилегиями «supervisor» или «zyuser» путём отправки специально сформированных сетевых запросов по протоколу HTTP

Затрагиваемое ПО и версии
Zyxel CPE Series
Способ устранения

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удаленного доступа к интерфейсу управления уязвимых устройств;
- использование «белого» списка IP-адресов для ограничения удалённого доступа к уязвимым устройствам;
- использование SIEM-систем для отслеживания событий журнала, связанных с получением telnet-трафика;
- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания индикаторов компрометации, указывающих на попытки эксплуатации уязвимости;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- ограничение доступа к устройствам из внешних сетей (Интернет).

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-unpatched-flaw-in-zyxel-cpe-devices/https://vulncheck.com/signin?redirect=/cve/CVE-2024-40891https://www.securitylab.ru/news/555934.phphttps://www.zyxel.com/fi/fi/products/dsl-cpehttps://viz.greynoise.io/tags/zyxel-cpe-cve-2024-40891-command-injection-attempt?days=1https://www.securityweek.com/new-zyxel-zero-day-under-attack-no-patch-available/https://www.darkreading.com/endpoint-security/unpatched-zyxel-cpe-zero-day-cyberattackerhttps://thehackernews.com/2025/01/zyxel-cpe-devices-face-active.html
Проверьте безопасность своего сайта и почты → Полная проверка домена