Los enrutadores obsoletos de Zyxel se han convertido en una bomba de tiempo

Zyxel emitió una advertencia sobre vulnerabilidades críticas en los dispositivos de la serie CPE, que están siendo explotadas activamente por hackers. La empresa declaró que no planea lanzar actualizaciones de seguridad y recomienda a los usuarios reemplazar el equipo por modelos más nuevos.

Dos vulnerabilidades fueron descubiertas por VulnCheck en julio de 2024, pero los ataques masivos se detectaron recientemente . Según GreyNoise, los atacantes ya han comenzado a explotar activamente estos problemas en sus ataques. El análisis de FOFA y Censys muestra que más de 1500 dispositivos vulnerables están conectados a Internet, lo que crea una superficie de ataque significativa.

• CVE-2024-40891 (puntuación CVSS: 8.8) permite a un usuario autenticado ejecutar una inyección de comandos en Telnet debido a la falta de validación adecuada en la biblioteca libcms_cli.so. Algunos comandos (como ifconfig, ping, tftp) se pasan sin verificación a la función de ejecución de shell, lo que permite la ejecución de código arbitrario utilizando metacaracteres del shell.
• CVE-2025-0890 (puntuación CVSS: 9.8) está relacionada con el uso de credenciales predeterminadas débiles (por ejemplo, admin:1234, zyuser:1234, supervisor:zyad1234), lo que otorga control total sobre el dispositivo. La cuenta supervisor tiene privilegios ocultos que permiten acceso completo al sistema, mientras que zyuser puede explotar CVE-2024-40891 para ejecutar código de forma remota.

VulnCheck publicó una prueba de concepto que demuestra la explotación de estas vulnerabilidades en el modelo VMG4325-B10A con un firmware obsoleto. A pesar de que estos dispositivos han quedado fuera de soporte, siguen utilizándose en redes corporativas y domésticas.

En su declaración oficial, Zyxel reconoció la existencia de vulnerabilidades en varios modelos, incluidos VMG1312-B10A, VMG3312-B10A, VMG4380-B10A y otros. Sin embargo, la empresa enfatizó que todos ellos están obsoletos y llevan mucho tiempo sin soporte, por lo que recomienda a los usuarios adquirir alternativas más modernas.

Además de las dos vulnerabilidades descubiertas por VulnCheck, Zyxel también confirmó la existencia de CVE-2024-40890 (puntuación CVSS: 8.8), otro problema relacionado con la ejecución de comandos después de la autenticación, similar a CVE-2024-40891. Sin embargo, la empresa no tiene previsto lanzar correcciones.

Poco después de la publicación del informe, Zyxel declaró que había intentado obtener información detallada de VulnCheck en julio, pero los investigadores nunca proporcionaron el informe. No obstante, las vulnerabilidades ya están siendo utilizadas en ataques, y los usuarios permanecen sin protección oficial.