自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

Zyxel多款舊DSL設(shè)備存在2個(gè)零日漏洞,無修復(fù)措施

作者:流蘇_
安全
Zyxel周二發(fā)布消息稱,涉及多款舊DSL用戶端設(shè)備(CPE)產(chǎn)品中的兩個(gè)零日漏洞將不再提供修復(fù)措施。

Zyxel周二發(fā)布消息稱,涉及多款舊DSL用戶端設(shè)備(CPE)產(chǎn)品中的兩個(gè)零日漏洞將不再提供修復(fù)措施。此前,威脅情報(bào)公司GreyNoise曾發(fā)出警告,有1500多臺設(shè)備受到一個(gè)嚴(yán)重的命令注入漏洞影響,而且這個(gè)漏洞正在被基于Mirai的僵尸網(wǎng)絡(luò)大肆利用。

GreyNoise公司表示:“在發(fā)現(xiàn)利用CVE - 2024 - 40891的IP地址與被歸類為Mirai的IP地址存在顯著重疊后,我們對Mirai的一個(gè)近期變種展開了調(diào)查,結(jié)果確認(rèn)利用CVE - 2024 - 40891的能力已經(jīng)被整合到某些Mirai變種之中?!?/p>

CVE - 2024 - 40891這個(gè)漏洞,于2024年中旬和CVE - 2024 - 40890(也是一個(gè)類似的命令注入漏洞)一同被披露出來。它們的主要區(qū)別在于攻擊向量,一個(gè)是HTTP,另一個(gè)是Telnet。

攻擊者能夠利用這些安全漏洞,在易受攻擊的設(shè)備上執(zhí)行任意命令,進(jìn)而完全掌控設(shè)備并竊取數(shù)據(jù),這極有可能危及部署這些產(chǎn)品的所在網(wǎng)絡(luò)。

周二當(dāng)天,Zyxel 明確表示,這兩個(gè)問題會(huì)影響到多款DSL CPE型號,具體包含VMG1312 - B10A、VMG1312 - B10B、VMG1312 - B10E、VMG3312 - B10A、VMG3313 - B10A、VMG3926 - B10B、VMG4325 - B10A、VMG4380 - B10A、VMG8324 - B10A、VMG8924 - B10A、SBG3300以及SBG3500。

Zyxel 還指出,在這些設(shè)備上,廣域網(wǎng)(WAN)接入和用于利用漏洞的Telnet功能,默認(rèn)是處于禁用狀態(tài)的。而且,攻擊者若要利用這些漏洞,需要使用被攻破的憑據(jù)登錄受影響的設(shè)備才行。

按照供應(yīng)商的說法,由于受影響的型號是多年前就已經(jīng)停止支持的老舊設(shè)備,所以針對這兩個(gè)漏洞都不會(huì)發(fā)布補(bǔ)丁。對于在這些DSL CPE產(chǎn)品中新發(fā)現(xiàn)的一個(gè)漏洞(編號CVE - 2025 - 0890,該漏洞允許攻擊者使用默認(rèn)憑據(jù)登錄管理界面),同樣也不會(huì)有補(bǔ)丁發(fā)布。

VulnCheck公司向合勤科技報(bào)告了這些漏洞,并且解釋說,受影響的設(shè)備預(yù)先配置有三個(gè)硬編碼賬戶,分別是“supervisor”、“admin”和“zyuser”。

其中,supervisor在網(wǎng)絡(luò)界面不可見,但在Telnet界面具備相應(yīng)功能,包括能夠訪問一個(gè)隱藏命令,通過這個(gè)命令它可以獲得對系統(tǒng)的無限制訪問權(quán)限。而zyuser賬戶在用戶表中是可見的,并且具有提升后的權(quán)限,攻擊者可利用它通過已被利用的CVE - 2024 - 40891漏洞實(shí)現(xiàn)完全遠(yuǎn)程代碼執(zhí)行。

VulnCheck公司表示:“雖然這些設(shè)備已經(jīng)老化,按道理應(yīng)該停止支持了,但目前仍有數(shù)千臺設(shè)備處于在線暴露的狀態(tài)。默認(rèn)憑據(jù)與命令注入這兩者相結(jié)合,使得它們成為容易被攻擊的目標(biāo),這也凸顯出不安全默認(rèn)配置以及糟糕的漏洞透明度所帶來的危險(xiǎn)?!?/p>

據(jù)Zyxel 稱,VulnCheck公司在2024年7月就報(bào)告了CVE - 2024 - 40890和CVE - 2024 - 40891這兩個(gè)漏洞,不過當(dāng)時(shí)并沒有提供詳細(xì)報(bào)告,而是直接公開披露了這些漏洞。直到GreyNoise上周發(fā)出野外利用警告之后,VulnCheck公司才發(fā)送了關(guān)于所有三個(gè)漏洞的詳細(xì)信息。

供應(yīng)商還發(fā)出警告,受影響的設(shè)備“是已經(jīng)達(dá)到產(chǎn)品生命周期終止(EOL)狀態(tài)多年的老舊產(chǎn)品。按照行業(yè)產(chǎn)品生命周期管理慣例,合勤科技建議客戶用新一代設(shè)備替換這些老舊產(chǎn)品,這樣才能實(shí)現(xiàn)最佳保護(hù)。”

參考來源:https://www.securityweek.com/zyxel-issues-no-patch-warning-for-exploited-zero-days/

責(zé)任編輯:趙寧寧 來源: FreeBuf
漏洞零日漏洞網(wǎng)絡(luò)攻擊
相關(guān)推薦

2013-11-14 11:16:00

2023-06-21 11:19:21

2022-02-09 11:43:33

漏洞補(bǔ)丁零日漏洞

2013-10-15 10:22:43

2021-02-06 09:57:00

GoogleChrome漏洞

2009-11-13 08:41:46

2020-11-04 14:59:01

GoogleChrome更新

2010-01-14 20:29:51

2021-10-08 19:06:58

零日漏洞漏洞谷歌

2021-05-25 14:22:55

Android漏洞Google

2021-05-25 14:04:49

AppleMacOS漏洞

2013-05-20 09:53:33

2022-03-28 18:30:54

零日漏洞Chrome

2010-01-15 10:42:40

2021-01-04 10:54:12

后門漏洞僵尸網(wǎng)絡(luò)

2021-10-01 12:15:59

谷歌Chrome漏洞

2021-10-15 06:01:06

補(bǔ)丁漏洞微軟

2023-11-06 12:10:28

2023-07-25 13:23:18

2025-03-12 14:10:57

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號