В Банке данных угроз безопасности информации (BDU) была зарегистрирована новая критическая уязвимость, затрагивающая широкий спектр сетевого оборудования компании Zyxel Communications Corp. Уязвимости присвоены идентификаторы BDU:2026-02240 и CVE-2025-13942. Проблема связана с недостаточной обработкой входных данных в реализации протокола UPnP и позволяет удаленному злоумышленнику выполнить произвольный код на атакуемом устройстве.
Детали уязвимости
Суть уязвимости заключается в недостатках механизмов санации пользовательских данных. Если точнее, микропрограммное обеспечение не принимает необходимых мер по нейтрализации специальных элементов при обработке SOAP-запросов. Это создает условия для внедрения команд операционной системы (CWE-78). В результате атакующий может отправить специально сформированный сетевой запрос и получить полный контроль над устройством.
Уровень опасности этой уязвимости оценивается как критический. Базовые оценки по шкале CVSS составляют 10.0 для версии 2.0 и 9.8 для версии 3.1. Такие высокие баллы присваиваются редко и указывают на максимальную серьезность угрозы. В частности, уязвимость не требует аутентификации злоумышленника, эксплуатируется удаленно через сеть и позволяет нарушить конфиденциальность, целостность и доступность системы.
Под угрозой находятся различные модели оборудования Zyxel, включая LTE/5G шлюзы (например, LTE3301-PLUS, NR7101), коммутаторы (серии EX, DX), беспроводные точки доступа и маршрутизаторы (серии EMG, VMG), а также оптоволоконные терминалы (ONT, серии PX). Уязвимыми являются как автономные устройства, так и аппаратные средства, управляемые через облачную платформу Zyxel Nebula. Полный список включает более пятнадцати моделей с определенными версиями микропрограмм. Следовательно, под риском могут оказаться как корпоративные сети, так и домашние интернет-центры.
Эксплуатация данной уязвимости открывает перед киберпреступниками широкие возможности. Получив контроль над сетевым устройством, злоумышленник может перенаправлять трафик, перехватывать конфиденциальные данные, использовать устройство в качестве плацдарма для атак на внутреннюю сеть или включить его в ботнет. Кроме того, это может служить точкой входа для более сложных целевых атак. Учитывая критичность уровня, можно ожидать появления работающих эксплойтов в ближайшее время.
Производитель уже подтвердил наличие проблемы и выпустил обновления микропрограммного обеспечения, устраняющие уязвимость. Актуальная информация и ссылки для загрузки исправленных версий опубликованы в официальном бюллетене безопасности на сайте Zyxel. Основной и самой эффективной мерой защиты является немедленная установка предоставленных патчей. Специалисты настоятельно рекомендуют администраторам проверить используемые модели и версии прошивок и применить обновления.
Впрочем, если немедленное обновление невозможно, эксперты по кибербезопасности предлагают ряд компенсирующих мер. Прежде всего, следует ограничить удаленный доступ к веб-интерфейсам и службам управления уязвимых устройств из интернета. Этого можно добиться с помощью правил межсетевого экрана. Также эффективной практикой является использование схемы доступа по "белым спискам", разрешающей подключения только с доверенных IP-адресов. Дополнительный контроль может обеспечить мониторинг сетевой активности. Например, SIEM-системы можно настроить на отслеживание подозрительных SOAP-запросов к сетевым устройствам.
Важно отметить, что в текущих геополитических условиях, связанных с санкциями против Российской Федерации, в рекомендациях BDU содержится важное предостережение. Организациям советуют с особой тщательностью оценивать все сопутствующие риски перед установкой обновлений программного обеспечения из внешних источников. Этот шаг направлен на минимизацию потенциальных угроз цепочки поставок. Тем не менее, учитывая критический характер данной уязвимости и ее удаленную эксплуатируемость, бездействие может привести к еще более серьезным последствиям.
Таким образом, уязвимость CVE-2025-13942 в устройствах Zyxel представляет собой серьезную угрозу безопасности. Ее критический уровень и широкий спектр затронутых устройств требуют от администраторов и пользователей безотлагательных действий. Приоритетом должно стать применение официальных исправлений от вендора. В качестве временного решения можно реализовать компенсирующие меры, такие как сегментация сети и усиленный мониторинг. Игнорирование данного бюллетеня безопасности значительно повышает риск успешной кибератаки с полным компрометированием сетевой инфраструктуры.
Ссылки
- https://bdu.fstec.ru/vul/2026-02240
- https://www.cve.org/CVERecord?id=CVE-2025-13942
- https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-null-pointer-dereference-and-command-injection-vulnerabilities-in-certain-4g-lte-5g-nr-cpe-dsl-ethernet-cpe-fiber-onts-security-routers-and-wireless-extenders-02-24-2026
