合勤科技(Zyxel) 近期發布安全公告,確認其 CPE(Customer Premise Equipment) 系列設備存在遭駭客積極利用的漏洞。但由於這些產品已進入停產階段,Zyxel表示將不會發布修補程式,並呼籲用戶汰換新型號產品。
漏洞細節
安全研究公司 VulnCheck 於 2024 年 7 月發現了兩個重大漏洞。VulnCheck 已公開完整的漏洞利用細節,並以執行韌體版本 1.00(AAFR.4)C0_20170615 的 VMG4325-B10A 設備進行概念驗證(PoC)。
根據網路掃描引擎 FOFA 和 Censys 的數據顯示,目前全球仍有超過 1,500 台 Zyxel CPE 系列設備暴露在網際網路上,受影響範圍相當廣泛。這些漏洞包括:
- CVE-2024-40891:已認證用戶可透過 libcms_cli.so 中的不當命令驗證,利用 Telnet 命令注入漏洞。某些命令(如 ifconfig、ping、tftp)未經檢查就傳遞給 shell 執行函數,允許攻擊者使用 shell 元字符執行任意程式碼。
- CVE-2025-0890:設備使用脆弱的預設憑證(admin:1234、zyuser:1234、supervisor:zyad1234),許多用戶未更改這些預設值。特別是 supervisor 帳號具有隱藏權限,可取得完整系統存取權限,而 zyuser 則可利用 CVE-2024-40891 執行遠端程式碼。
Zyxel 在公告中確認受影響的產品包括 VMG1312-B10A、VMG1312-B10B、VMG3312-B10A 等多款型號,這些設備已在數年前進入停產階段。Zyxel 強烈建議用戶改用新一代產品以獲得最佳防護。
此外,Zyxel 在安全公告中還提到
第三個漏洞 CVE-2024-40890,這是一個與 CVE-2024-40891 類似的身份驗證後指令注入問題。
風險緩解建議
根據 Censys 的報告,受影響設備主要分布在菲律賓、土耳其、英國、法國和義大利。儘管如此,由於無法獲得安全更新,系統管理員建議用戶採取以下緊急應變措施:
- 封鎖已知的攻擊來源 IP 位址
- 監控針對 Zyxel CPE 管理介面的異常 Telnet 請求
- 限制管理介面僅允許特定 IP 存取
- 如無需要,建議完全停用遠端管理功能
由於原廠已明確表示不會提供安全更新,使用這些設備的組織應審慎評估其資安風險,並及早進行設備汰換規劃。
延伸閱讀:物聯網裝置資安風險升高,多數組織單位未完整盤點設備資產
本文轉載自bleepingcomputer。