Zyxel CPE pod útokem kvůli neopravené zranitelnosti CVE-2024-40891

Kritická bezpečnostní mezera umožňuje plné převzetí zařízení.

Výzkumníci v oblasti kybernetické bezpečnosti varují před aktivním zneužíváním zranitelnosti CVE-2024-40891, která postihuje zařízení řady Zyxel CPE. Útočníci mohou tuto chybu využít k spuštění libovolných příkazů, což může vést ke kompletnímu ovládnutí systému, úniku dat nebo průniku do interní sítě.

Zranitelnost se týká Telnet služby a je podobná dříve objevené CVE-2024-40890, která se týkala webového rozhraní Zyxel zařízení. V obou případech mohou útočníci zneužít servisní účty k provedení škodlivých příkazů.

První útoky pocházejí z Tchaj-wanu, botnet Mirai už chybu využívá

Bezpečnostní firma GreyNoise sleduje útoky pocházející z desítek IP adres, přičemž většina z nich se nachází na Tchaj-wanu. Podle údajů společnosti Censys je v současnosti více než 1 500 zranitelných zařízení připojeno k internetu.

Navíc varianty botnetu Mirai již zahrnuly exploit na CVE-2024-40891 do svého arzenálu. To naznačuje, že zranitelnost bude pravděpodobně masově zneužívána k vytváření rozsáhlých botnet sítí, které lze využít k DDoS útokům a dalším škodlivým aktivitám.

Zyxel neposkytl opravu

Zranitelnost byla původně odhalena výzkumníky z VulnCheck v červenci 2024, ale nebyla oficiálně zveřejněna ani opravena. Výzkumníci se nyní snaží problém řešit přímo se společností Zyxel, ale ta zatím neposkytla žádné veřejné vyjádření k situaci.

Jak se chránit?

Vzhledem k tomu, že zatím neexistuje žádná oprava, uživatelé a správci sítí by měli okamžitě podniknout kroky ke snížení rizika:

– Omezit přístup k administrátorskému rozhraní pouze na důvěryhodné IP adresy.

– Monitorovat síťový provoz a filtrovat podezřelé HTTP požadavky směřující na Zyxel CPE zařízení.

– Zakázat Telnet, pokud není nezbytně nutný pro provoz.-

– Pravidelně kontrolovat dostupné bezpečnostní aktualizace od Zyxel.

Souvislost s dalšími útoky na síťová zařízení

Tento vývoj přichází v době, kdy bezpečnostní firma Arctic Wolf odhalila kampaň z 22. ledna 2025, při níž útočníci zneužili software SimpleHelp pro vzdálenou správu. Přestože není potvrzeno, zda tato aktivita souvisí se zranitelností Zyxelu, je jasné, že se útočníci zaměřují na slabě zabezpečené síťové prvky jako vektor pro počáteční průnik.

Administrátoři, kteří používají SimpleHelp, by proto měli co nejdříve aktualizovat na nejnovější verzi, protože nedávno odhalené zranitelnosti (CVE-2024-57726, CVE-2024-57727, CVE-2024-57728) umožňují útočníkům eskalovat práva a nahrávat škodlivé soubory.

Kritická zranitelnost bez opravy, útočníci jsou aktivní

Absence opravy CVE-2024-40891 a její rychlé zneužívání ukazuje, jak nebezpečné mohou být zero-day zranitelnosti v síťových zařízeních. Organizace, které využívají Zyxel CPE zařízení, by měly okamžitě přijmout bezpečnostní opatření, aby minimalizovaly riziko kompromitace.

Zdroj: thehackernews.com

Zdroj ilustračního obrázku: Pete Linforth from Pixabay