CVE-2025-0890: Credenziali predefinite nei router Zyxel VMG4325-B10A consentono esecuzione di codice remoto

CVE-2025-0890 è una vulnerabilità di sicurezza critica che colpisce i router Zyxel VMG4325-B10A a causa della presenza di credenziali predefinite. Tali credenziali permettono ad attaccanti di ottenere accesso non autorizzato al sistema tramite Telnet, facilitando ulteriori forme di sfruttamento. La gravità del problema è accentuata dal fatto che costituisce un punto di ingresso per la CVE-2024-40891, una vulnerabilità di injection di comandi autenticata che può condurre ad esecuzione di codice remoto completa (RCE). Questa vulnerabilità è attivamente sfruttata, con attori delle minacce che prendono di mira l’account zyuser per ottenere accessi non autorizzati, come confermato da alcune fonti di intelligence sulle minacce. È importante notare che le stesse credenziali sono già state utilizzate in precedenti campagne malware, incluso BrickerBot.

Zyxel Devices
2025-02-10 17:31:55
Active Exploitation

Riassunto tecnico

I router Zyxel VMG4325-B10A sono forniti con più account predefiniti, inclusi:

  • supervisor:zyad1234
  • admin:1234
  • zyuser:1234

Queste credenziali sono memorizzate in /etc/default.cfg ma non sono visibili tramite l’interfaccia web, rendendole facilmente trascurabili dagli amministratori. L’account supervisor dispone di privilegi Telnet non documentati, che concedono accesso a comandi nascosti come sh, che fornisce una shell completamente interattiva. Sebbene l’account zyuser non abbia accesso diretto a tali comandi, può comunque eseguire codice arbitrario sfruttando la CVE-2024-40891.

Un attaccante a conoscenza di queste credenziali può:

  1. Stabilire una sessione Telnet utilizzando l’account zyuser.
  2. Sfruttare CVE-2024-40891 iniettando comandi attraverso input non correttamente sanificati.
  3. Ottenere pieno accesso al sistema, consentendo esfiltrazione di dati, manipolazione del firmware o distribuzione di malware persistente.

Raccomandazioni

Per mitigare i rischi associati alla CVE-2025-0890, le organizzazioni dovrebbero adottare immediatamente le seguenti azioni:

  1. Disabilitare l’accesso Telnet:

    • Se Telnet non è necessario, disabilitarlo per prevenire accessi remoti non autorizzati.

  2. Modificare le credenziali predefinite:

    • Cambiare immediatamente le password degli account supervisor, admin e zyuser con password robuste e uniche.
    • Se possibile, rimuovere o disabilitare gli account non necessari.

  3. Applicare aggiornamenti firmware:

    • Verificare ed applicare eventuali aggiornamenti firmware forniti da Zyxel che risolvono questa vulnerabilità.
    • In assenza di una patch, considerare la sostituzione dei dispositivi interessati con alternative più sicure.

  4. Monitorare l’attività di rete:

    • Implementare logging e rilevamento di anomalie per identificare tentativi di accesso non autorizzati.
    • Utilizzare strumenti come GreyNoise per monitorare le tendenze di sfruttamento legate a questa vulnerabilità.

  5. Limitare l’accesso remoto:

    • Se la gestione remota è necessaria, limitarla a indirizzi IP affidabili e utilizzare VPN invece di esporre direttamente i servizi a Internet.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In