Una nuova vulnerabilità zero-day di tipo Command Injection, identificata come CVE-2024-40891, colpisce i dispositivi Zyxel della serie CPE, esponendo oltre 1.500 dispositivi accessibili da internet in tutto il mondo a potenziali attacchi. I ricercatori di sicurezza hanno osservato tentativi di sfruttamento attivo dal 21 gennaio 2025, con attaccanti che sfruttano account non autorizzati come “supervisor” o “zyuser” per ottenere il controllo del sistema. Nonostante la gravità, Zyxel non ha ancora pubblicato un avviso ufficiale né una patch correttiva.
| Data | 2025-02-03 09:26:25 |
| Informazioni | Active Exploitation |
Riassunto tecnico
CVE-2024-40891 è una vulnerabilità critica di tipo remote command injection che consente ad attaccanti non autenticati di eseguire comandi arbitrari sui dispositivi Zyxel CPE interessati tramite telnet. Questa vulnerabilità è simile alla CVE-2024-40890, che sfruttava un vettore di attacco basato su HTTP, ma in questo caso CVE-2024-40891 si concentra sull’accesso tramite telnet. La falla consente agli attaccanti di ottenere il pieno controllo del dispositivo, con potenziali conseguenze come il furto di dati, compromissione della rete e infezioni su larga scala da parte di botnet.
I ricercatori di GreyNoise e VulnCheck hanno confermato lo sfruttamento attivo della vulnerabilità, con attaccanti che hanno preso di mira i dispositivi esposti poco dopo che il problema è stato segnalato a determinati partner di sicurezza. A causa dell’elevato numero di attacchi, i ricercatori hanno divulgato pubblicamente il problema per aumentare la consapevolezza e favorire azioni difensive.
Raccomandazioni
Fino a quando non sarà disponibile una patch ufficiale, le organizzazioni che utilizzano dispositivi Zyxel CPE Series dovrebbero adottare le seguenti misure per mitigare i rischi:
- Monitorare il traffico di rete: monitorare attivamente le connessioni telnet sui dispositivi Zyxel per rilevare attività sospette.
- Limitare l’accesso: consentire l’accesso amministrativo solo da IP affidabili e disattivare la gestione remota se non necessaria.
- Applicare aggiornamenti del fornitore: verificare regolarmente la disponibilità di avvisi di sicurezza Zyxel ed applicare immediatamente le patch non appena rilasciate.
- Disattivare dispositivi fuori supporto: sostituire i dispositivi non più supportati per ridurre l’esposizione a minacce future.