A Zyxel confirmou que não lançará atualizações para vulnerabilidades críticas descobertas em roteadores da série CPE que já atingiram o status de fim de vida útil (EoL). A fabricante recomenda que os usuários substituam esses dispositivos por modelos mais modernos para evitar riscos de segurança.
Zyxel alerta sobre falhas de segurança em roteadores descontinuados
As falhas foram inicialmente identificadas pela equipe da VulnCheck em julho de 2024. No entanto, somente na semana passada a GreyNoise detectou atividades maliciosas explorando essas vulnerabilidades na internet.
Segundo os mecanismos de análise de rede FOFA e Censys, mais de 1.500 dispositivos Zyxel CPE ainda estão expostos, tornando-se um alvo fácil para ataques cibernéticos.
Duas falhas críticas expõem dispositivos Zyxel
A VulnCheck divulgou detalhes técnicos sobre duas vulnerabilidades ativamente exploradas, ambas permitindo que atacantes obtenham acesso inicial às redes:
- CVE-2024-40891: Afeta usuários autenticados, permitindo a exploração de injeção de comando Telnet devido à validação inadequada no arquivo libcms_cli.so. Comandos como ifconfig, ping e tftp podem ser executados sem restrições, permitindo o uso de metacaracteres de shell para execução remota de código.
- CVE-2025-0890: Os roteadores vêm com credenciais padrão fracas (admin:1234, zyuser:1234, supervisor:zyad1234), que muitos usuários não alteram. A conta supervisor possui privilégios ocultos, oferecendo controle total sobre o dispositivo, enquanto zyuser pode explorar a CVE-2024-40891 para executar código remotamente.
A VulnCheck demonstrou uma prova de conceito (PoC) da exploração, utilizando o modelo VMG4325-B10A com a versão de firmware 1.00(AAFR.4)C0_20170615, evidenciando o risco para dispositivos ativos.
Roteadores desatualizados ainda são alvos de ataques
Embora esses roteadores tenham sido descontinuados há anos, pesquisadores alertam que eles ainda estão presentes em muitas redes ao redor do mundo. Segundo a VulnCheck, seu uso contínuo e o interesse dos cibercriminosos tornam essas falhas relevantes para a segurança digital.
“A exploração ativa desses roteadores demonstra a importância de se compreender ataques do mundo real para aprimorar a pesquisa em segurança”, destacou a equipe da VulnCheck.
Zyxel recomenda substituição imediata
A Zyxel confirmou que os modelos afetados incluem VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 e SBG3500. Como esses produtos estão fora do suporte há anos, a fabricante recomenda a substituição por versões mais modernas para garantir proteção contra ameaças cibernéticas.
Além disso, a Zyxel mencionou uma terceira falha, CVE-2024-40890, relacionada à injeção de comando pós-autenticação, semelhante à CVE-2024-40891.
Curiosamente, a Zyxel alega que solicitou um relatório detalhado à VulnCheck sobre essas vulnerabilidades em julho de 2024, mas nunca recebeu resposta. Segundo a empresa, a VulnCheck publicou suas descobertas sem notificá-los previamente.
Para usuários que ainda utilizam esses modelos antigos, a recomendação é realizar a substituição imediata do equipamento e reforçar medidas de segurança para evitar ataques.