Zyxel周二發布消息稱，涉及多款舊DSL用戶端設備（CPE）產品中的兩個零日漏洞將不再提供修復措施。此前，威脅情報公司GreyNoise曾發出警告，有1500多臺設備受到一個嚴重的命令注入漏洞影響，而且這個漏洞正在被基于Mirai的僵尸網絡大肆利用。

GreyNoise公司表示：“在發現利用CVE - 2024 - 40891的IP地址與被歸類為Mirai的IP地址存在顯著重疊后，我們對Mirai的一個近期變種展開了調查，結果確認利用CVE - 2024 - 40891的能力已經被整合到某些Mirai變種之中。”

CVE - 2024 - 40891這個漏洞，于2024年中旬和CVE - 2024 - 40890（也是一個類似的命令注入漏洞）一同被披露出來。它們的主要區別在于攻擊向量，一個是HTTP，另一個是Telnet。

攻擊者能夠利用這些安全漏洞，在易受攻擊的設備上執行任意命令，進而完全掌控設備并竊取數據，這極有可能危及部署這些產品的所在網絡。

周二當天，Zyxel 明確表示，這兩個問題會影響到多款DSL CPE型號，具體包含VMG1312 - B10A、VMG1312 - B10B、VMG1312 - B10E、VMG3312 - B10A、VMG3313 - B10A、VMG3926 - B10B、VMG4325 - B10A、VMG4380 - B10A、VMG8324 - B10A、VMG8924 - B10A、SBG3300以及SBG3500。

Zyxel 還指出，在這些設備上，廣域網（WAN）接入和用于利用漏洞的Telnet功能，默認是處于禁用狀態的。而且，攻擊者若要利用這些漏洞，需要使用被攻破的憑據登錄受影響的設備才行。

按照供應商的說法，由于受影響的型號是多年前就已經停止支持的老舊設備，所以針對這兩個漏洞都不會發布補丁。對于在這些DSL CPE產品中新發現的一個漏洞（編號CVE - 2025 - 0890，該漏洞允許攻擊者使用默認憑據登錄管理界面），同樣也不會有補丁發布。

VulnCheck公司向合勤科技報告了這些漏洞，并且解釋說，受影響的設備預先配置有三個硬編碼賬戶，分別是“supervisor”、“admin”和“zyuser”。

其中，supervisor在網絡界面不可見，但在Telnet界面具備相應功能，包括能夠訪問一個隱藏命令，通過這個命令它可以獲得對系統的無限制訪問權限。而zyuser賬戶在用戶表中是可見的，并且具有提升后的權限，攻擊者可利用它通過已被利用的CVE - 2024 - 40891漏洞實現完全遠程代碼執行。

VulnCheck公司表示：“雖然這些設備已經老化，按道理應該停止支持了，但目前仍有數千臺設備處于在線暴露的狀態。默認憑據與命令注入這兩者相結合，使得它們成為容易被攻擊的目標，這也凸顯出不安全默認配置以及糟糕的漏洞透明度所帶來的危險。”

據Zyxel 稱，VulnCheck公司在2024年7月就報告了CVE - 2024 - 40890和CVE - 2024 - 40891這兩個漏洞，不過當時并沒有提供詳細報告，而是直接公開披露了這些漏洞。直到GreyNoise上周發出野外利用警告之后，VulnCheck公司才發送了關于所有三個漏洞的詳細信息。

供應商還發出警告，受影響的設備“是已經達到產品生命周期終止（EOL）狀態多年的老舊產品。按照行業產品生命周期管理慣例，合勤科技建議客戶用新一代設備替換這些老舊產品，這樣才能實現最佳保護。”

參考來源：https://www.securityweek.com/zyxel-issues-no-patch-warning-for-exploited-zero-days/