05/02/25
Компания Zyxel, широко известный в России и за ее пределами производитель сетевого оборудования, наотрез отказалась выпускать патчи безопасности для целого ряда своих устаревших роутеров и DSL-модемов. Как пишет портал Bleeping Computer, за последние несколько месяцев в них было выявлено немалое количество уязвимостей, о многих из которых давно известно киберпреступникам – они активно эксплуатируют их в своих целях.
Речь в данном случае о моделях VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 и SBG3500. Уязвимости в них нашли специалисты VulnCheck.
Редакция CNews обнаружила, что все перечисленные устройства в разное время были доступны в российской рознице. Это означает, что по вине Zyxel россияне, владеющие этими роутерами и модемами, тоже могут стать жертвами хакерских атак.
Zyxel осведомлена о «дырах» в своей продукции, но не намерена ничего с этим делать. Она выпустила предупреждение, что патчей безопасности не будет, и что единственное, чем она может помочь – это продать более современный роутер, который пока не числится в ее списке устаревших.
В июле 2024 г. специалисты VulnCheck нашли в роутерах Zyxel две уязвимости критического уровня. Одна из них – это CVE-2024-40891 со степенью опасности 8.8 из 10. Ее эксплуатация позволяет хакерам провести инъекцию команд в Telnet и затем выполнять произвольный код.
Вторая уязвимость носит индекс CVE-2025-0890 и имеет значительно более высокую степень опасности – 9.8. Эта брешь позволяет использовать штатные учетные записи в прошивках роутеров с повышенными привилегиями и получать полный доступ к системе.
Эксперты VulnCheck продемонстрировали процесс использования обеих «дыр» на роутере VMG4325-B10A, обновления для которого Zyxel давно не выпускает. В настоящее время эта модель снята с производства.
Существует и третья уязвимость – CVE-2024-40890 с оценкой 8.8. По возможностям, которые открывает хакерам ее эксплуатация, она похожа на CVE-2024-40891. Ее Zyxel тоже не намерена исправлять.
