TELNET
合勤科技:停產路由器漏洞不予修補
2025-02-05 22:30:58 / 天氣: 冷 / 心情: 鬱悶 / 個人分類:資安
微軟正黑體, Arial, Helvetica, sans-serif; font-size: 18px;">合勤科技(Zyxel) 近期發布安全公告,確認其 CPE(Customer Premise Equipment) 系列設備存在遭駭客積極利用的漏洞。但由於這些產品已進入停產階段,Zyxel表示將不會發布修補程式,並呼籲用戶汰換新型號產品。
漏洞細節
安全研究公司 VulnCheck 於 2024 年 7 月發現了兩個重大漏洞。VulnCheck 已公開完整的漏洞利用細節,並以執行韌體版本 1.00(AAFR.4)C0_20170615 的 VMG4325-B10A 設備進行概念驗證(PoC)。根據網路掃描引擎 FOFA 和 Censys 的數據顯示,目前全球仍有超過 1,500 台 Zyxel CPE 系列設備暴露在網際網路上,受影響範圍相當廣泛。這些漏洞包括:
- CVE-2024-40891:已認證用戶可透過 libcms_cli.so 中的不當命令驗證,利用 Telnet 命令注入漏洞。某些命令(如 ifconfig、ping、tftp)未經檢查就傳遞給 shell 執行函數,允許攻擊者使用 shell 元字符執行任意程式碼。
- CVE-2025-0890:設備使用脆弱的預設憑證(admin:1234、zyuser:1234、supervisor:zyad1234),許多用戶未更改這些預設值。特別是 supervisor 帳號具有隱藏權限,可取得完整系統存取權限,而 zyuser 則可利用 CVE-2024-40891 執行遠端程式碼。
此外,Zyxel 在安全公告中還提到第三個漏洞 CVE-2024-40890,這是一個與 CVE-2024-40891 類似的身份驗證後指令注入問題。
詳細新聞資訊
相關閱讀:
- 微軟:Windows 漏洞攻擊來自俄羅斯駭客團體 (P11052, 2016-11-02)
- 教官全面退出校園 校安恐出現漏洞 (魔羯, 2016-11-25)
- 如何抵擋Tb級DDoS攻擊 (P11555, 2016-12-18)
- 有效防範您被勒索並成為小白老鼠... (P11555, 2017-5-15)
- Win XP系統重啟更新補漏洞 (PCHANG, 2017-5-15)
- 微軟再次修補Windows XP (win2003, 2017-6-14)
- Cydia 之父:Jailbreak 已經玩完 (X-LAN, 2017-7-03)
- 蘋果大出包?點開iCloud驚見陌生人照片 用戶嚇歪 (apple, 2022-11-23)
- 蘋果員工老早發現 Chrome 漏洞,卻不報告 Google (apple, 2023-7-22)
論壇模式 推薦 收藏 等級(3) 編輯 管理 查看(388) 評論(0)