В базе данных уязвимостей зарегистрирована новая критическая уязвимость BDU:2025-14361, затрагивающая популярные маршрутизаторы Zyxel. Проблема обнаружена в компоненте URL Parser веб-сервера zhttpd, входящего в микропрограммное обеспечение устройств. Уязвимость связана с классическим переполнением буфера (CWE-120), когда копирование данных происходит без проверки размера входных параметров.
Детали уязвимости
Эксплуатация уязвимости позволяет злоумышленнику, действующему удаленно, вызвать отказ в обслуживании (Denial of Service) или выполнить произвольный код. Для атаки достаточно отправить специально сформированный HTTP-запрос к целевым устройствам. При этом не требуется аутентификация или взаимодействие с пользователем, что значительно повышает риски массового компрометирования оборудования.
Под угрозой находятся многочисленные модели маршрутизаторов Zyxel, включая EMG3525-T50B, EMG5523-T50B, EMG5723-T50K, EMG6726-B10A, EX3510-B0, EX5510-B0, VMG1312-T20B, VMG3625-T50B, VMG3925-B10B/B10C, VMG3927-B50A_B60A, VMG3927-B50B, VMG3927-T50K, VMG4005-B50B, VMG4927-B50A, VMG8623-T50B, VMG8825-B50A_B60A, VMG8825-Bx0B, VMG8825-T50K, VMG8924-B10D, XMG3927-B50A и XMG8825-B50A. Все перечисленные устройства с версиями микропрограммного обеспечения до указанных в рекомендациях подвержены атаке.
Оценка по системе CVSS демонстрирует исключительную опасность данной уязвимости. Балл CVSS 2.0 достигает максимального значения 10.0, а CVSS 3.1 составляет 9.8 из 10. Вектор атаки оценивается как сетевой (Network), сложность атаки - низкая, а уровень привилегий для эксплуатации не требуется. Следовательно, уязвимость получает критический уровень опасности.
Производитель Zyxel Communications Corp. уже подтвердил наличие проблемы и выпустил официальное исправление. Компания рекомендует пользователям незамедлительно обновить микропрограммное обеспечение до актуальных версий. Подробные инструкции и ссылки для загрузки обновлений размещены на официальном сайте производителя в разделе безопасности.
Важно отметить, что уязвимость также получила идентификатор CVE-2025-7673 в системе общепринятых идентификаторов уязвимостей. Это позволяет унифицировать отслеживание проблемы across различных систем безопасности и баз знаний.
На текущий момент информация о наличии работающих эксплойтов (exploit) уточняется. Однако учитывая критический характер уязвимости и относительную простоту эксплуатации, можно ожидать появление инструментов для атаки в ближайшее время. Специалисты по кибербезопасности рекомендуют приоритизировать установку обновлений, особенно для устройств, доступных из внешней сети.
Способ устранения уязвимости четко определен - необходимо обновление программного обеспечения. Производитель заявляет, что уязвимость уже устранена в последних версиях микропрограмм. Пользователям следует обратиться к официальному сайту Zyxel или использовать функцию автоматического обновления в веб-интерфейсе маршрутизатора.
Данный инцидент подчеркивает важность регулярного обновления сетевого оборудования, особенно маршрутизаторов, которые часто становятся целью кибератак. Переполнения буфера в компонентах веб-серверов представляют особую опасность, поскольку позволяют злоумышленникам получать полный контроль над устройством без физического доступа.
Владельцам затронутых моделей рекомендуется немедленно проверить текущую версию микропрограммного обеспечения и применить обновления в соответствии с рекомендациями производителя. Дополнительные меры предосторожности включают ограничение доступа к веб-интерфейсу маршрутизатора только из внутренней сети и использование сложных паролей администратора.
Своевременное применение исправлений критически важно для предотвращения потенциальных атак, которые могут привести к полному компрометированию сетевой инфраструктуры. Эксперты отмечают, что подобные уязвимости в сетевом оборудовании особенно опасны, поскольку предоставляют злоумышленникам точку входа в корпоративные или домашние сети.
Ссылки
- https://bdu.fstec.ru/vul/2025-14361
- https://www.cve.org/CVERecord?id=CVE-2025-7673
- https://www.zyxel.com/service-provider/global/en/zyxel-security-advisory-remote-code-execution-and-denial-service-vulnerabilities-cpe
