合勤科技：停產路由器漏洞不予修補 - 各類配備與資訊

打印 \| 推薦 \| 訂閱 \| 收藏標題: 合勤科技：停產路由器漏洞不予修補
本帖已經被作者加入個人空間

TELNET

UID 6
精華 0
積分 1634
帖子 255
威望 5
P幣 802 $
經驗 572 點
閱讀權限
註冊 2000-1-1
來自全球
狀態離線

使用道具

發表於 2025-2-5 22:30 資料個人空間主頁短消息加為好友

合勤科技：停產路由器漏洞不予修補

合勤科技（Zyxel）近期發布安全公告，確認其 CPE(Customer Premise Equipment) 系列設備存在遭駭客積極利用的漏洞。但由於這些產品已進入停產階段，Zyxel表示將不會發布修補程式，並呼籲用戶汰換新型號產品。漏洞細節

安全研究公司 VulnCheck 於 2024 年 7 月發現了兩個重大漏洞。VulnCheck 已公開完整的漏洞利用細節，並以執行韌體版本 1.00(AAFR.4)C0_20170615 的 VMG4325-B10A 設備進行概念驗證（PoC）。

根據網路掃描引擎 FOFA 和 Censys 的數據顯示，目前全球仍有超過 1,500 台 Zyxel CPE 系列設備暴露在網際網路上，受影響範圍相當廣泛。這些漏洞包括：

CVE-2024-40891：已認證用戶可透過 libcms_cli.so 中的不當命令驗證，利用 Telnet 命令注入漏洞。某些命令（如 ifconfig、ping、tftp）未經檢查就傳遞給 shell 執行函數，允許攻擊者使用 shell 元字符執行任意程式碼。
CVE-2025-0890：設備使用脆弱的預設憑證（admin:1234、zyuser:1234、supervisor:zyad1234），許多用戶未更改這些預設值。特別是 supervisor 帳號具有隱藏權限，可取得完整系統存取權限，而 zyuser 則可利用 CVE-2024-40891 執行遠端程式碼。

Zyxel 在公告中確認受影響的產品包括 VMG1312-B10A、VMG1312-B10B、VMG3312-B10A 等多款型號，這些設備已在數年前進入停產階段。Zyxel 強烈建議用戶改用新一代產品以獲得最佳防護。

此外，Zyxel 在安全公告中還提到第三個漏洞 CVE-2024-40890，這是一個與 CVE-2024-40891 類似的身份驗證後指令注入問題。

詳細新聞資訊
附件: