Zyxel: rilevato sfruttamento in rete della CVE-2024-40891 (AL02/250204/CSIRT-ITA)

Descrizione e potenziali impatti

Ricercatori di sicurezza hanno recentemente rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2024-40891 – sfruttata come 0-day – presente su dispositivi DSL CPE non più supportati da Zyxel.

Tale vulnerabilità – di tipo “Command Injection” e con score CVSS v3.1 pari a 9.8 – potrebbe consentire a un utente malintenzionato l’esecuzione di comandi arbitrari (RCE) sui dispositivi target, tramite richieste Telnet opportunamente predisposte. La vulnerabilità risulta similare alla CVE-2024-40890, anch’essa attualmente senza alcuna patch disponibile, con la sola differenza che quest’ultima sfrutta il protocollo HTTP invece che il protocollo Telnet.

Infine Zyxel ha documentato anche la CVE-2025-0890 – di tipo “Privilege Escalation” – che potrebbe consentire a un utente malintenzionato di accedere all’interfaccia di gestione del dispositivo qualora non siano state modificate le credenziali di default.

Per eventuali ulteriori approfondimenti si consiglia di consultare i link all’analisi, disponibili nella sezione Riferimenti.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: Critico (81.79)

Tipologia

• Remote Code Execution
• Privilege Escalation

Prodotti e/o versioni affette

Zyxel DSL CPE: VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 e SBG3500

Azioni di mitigazione

In linea con le dichiarazioni del vendor, i dispositivi riportati sono prodotti legacy che hanno raggiunto lo stato EOL da diversi anni. In conformità con le pratiche di gestione del ciclo di vita dei prodotti del settore, Zyxel consiglia ai clienti di sostituire tali prodotti con apparecchiature di nuova generazione per una protezione ottimale.

Riferimenti

https://www.greynoise.io/blog/active-exploitation-of-zero-day-zyxel-cpe-vulnerability-cve-2024-40891

https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-command-injection-and-insecure-default-credentials-vulnerabilities-in-certain-legacy-dsl-cpe-02-04-2025

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.