Критические уязвимости в роутерах Zyxel позволяют хакерам удаленно захватывать устройства

Компания Zyxel выпустила масштабное обновление безопасности, закрывающее семь уязвимостей в прошивках своих сетевых устройств. Среди них выделяется критическая проблема, позволяющая неавторизованному злоумышленнику выполнять произвольные команды на уровне операционной системы маршрутизатора. Эта ситуация затрагивает широкий спектр оборудования, от домашних шлюзов до корпоративных точек доступа, что делает инцидент значимым как для обычных пользователей, так и для малого бизнеса. Своевременное обновление прошивки становится критически важным шагом для предотвращения потенциального полного компрометирования сетевой инфраструктуры.

Детали уязвимостей

Центральным элементом бюллетеня является уязвимость, получившая идентификатор CVE-2025-13942 с максимально возможным рейтингом опасности CVSS 9.8. Проблема заключается в инъекции команд в функцию UPnP (Universal Plug and Play, универсальная система автоматического подключения устройств) модели беспроводного расширителя EX3510-B0. Для эксплуатации атакующему не требуется аутентификация или какие-либо учетные данные. Достаточно отправить на устройство, имеющее доступ из внешней сети (WAN), специально сформированный UPnP SOAP-запрос, чтобы выполнить вредоносный код. Однако важно отметить, что для успешной атаки на устройстве должны быть одновременно активированы как служба UPnP, так и доступ к веб-интерфейсу из интернета, который по умолчанию отключен. Это несколько снижает непосредственную угрозу, но не отменяет её критичности для неправильно сконфигурированных систем.

Помимо этой уязвимости, были исправлены ещё две проблемы, связанные с инъекцией команд после аутентификации. Уязвимость CVE-2025-13943, имеющая высокий рейтинг CVSS 8.8, существует в функции загрузки лог-файлов модели EX3301-T0. Она позволяет аутентифицированному пользователю, получившему доступ к панели управления, выйти за пределы веб-интерфейса и выполнить команды в операционной системе устройства. Аналогичная проблема под идентификатором CVE-2026-1459 обнаружена в CGI-программе загрузки сертификатов TR-369 (протокол удаленного управления устройствами) для моделей VMG3625-T50B. Для её использования злоумышленнику уже потребуются привилегии администратора, что делает эту уязвимость менее опасной с точки зрения удаленной атаки, но крайне значимой в случае компрометации учётных данных.

Отдельную группу составляют четыре уязвимости, приводящие к отказу в обслуживании (Denial of Service, DoS). Все они имеют идентификаторы CVE-2025-11845, CVE-2025-11846, CVE-2025-11847 и CVE-2025-11848 и затрагивают две модели: VMG3625-T50B и WX3100-T0. Суть этих проблем - разыменование нулевого указателя (null pointer dereference) в различных CGI-программах, отвечающих за управление сертификатами, настройками учётных записей, IP-конфигурацией и функцией Wake-on-LAN. Аутентифицированный администратор может отправить специально подготовленный HTTP-запрос, который вызовет сбой в работе соответствующего модуля, приведя к остановке критических служб и, как следствие, к недоступности сетевых функций устройства. Хотя рейтинг CVSS для этих уязвимостей оценивается как средний (4.9), их опасность заключается в возможности целенаправленной дестабилизации работы сетевого оборудования.

С технической точки зрения, инъекция команд (CWE-78) является классической и одной из наиболее опасных уязвимостей. Она возникает, когда приложение, в данном случае веб-интерфейс маршрутизатора, некорректно обрабатывает пользовательский ввод, передавая его непосредственно в командную оболочку операционной системы. Это позволяет злоумышленнику «обмануть» программу и выполнить произвольные инструкции. В свою очередь, разыменование нулевого указателя (CWE-476) - это ошибка программирования, при которой код пытается получить доступ к области памяти по адресу, который не был инициализирован (имеет значение NULL), что приводит к аварийному завершению процесса.

Последствия эксплуатации этих уязвимостей могут быть крайне серьёзными. Успешная атака с использованием CVE-2025-13942 предоставляет злоумышленнику полный контроль над устройством. Это открывает путь к перехвату и модификации всего интернет-трафика, проходящего через роутер, краже учетных данных, установке вредоносного ПО, например программ-вымогателей, или интеграции устройства в ботнет для проведения масштабных DDoS-атак. Уязвимости, требующие аутентификации, создают риск при компрометации паролей, особенно если используются стандартные учётные данные. Проблемы, приводящие к отказу в обслуживании, могут быть использованы для целевых атак на бизнес-процессы, вызывая простои в работе и финансовые потери.

В качестве первоочередных мер защиты Zyxel настоятельно рекомендует всем владельцам затронутых моделей немедленно обновить прошивку до последних версий, в которых данные уязвимости устранены. Актуальные файлы обновлений доступны на официальном сайте поддержки производителя. Кроме того, эксперты по информационной безопасности советуют выполнить несколько дополнительных действий. Во-первых, необходимо отключить доступ к веб-интерфейсу управления из внешней сети (WAN), если такая функция не является строго необходимой для эксплуатации. Во-вторых, следует пересмотреть необходимость использования службы UPnP и деактивировать её в настройках, если она не используется. В-третьих, критически важно изменить пароли по умолчанию на уникальные и сложные, а также регулярно проводить аудит учётных записей с правами администратора. Регулярный мониторинг сетевой активности на предмет аномальных исходящих подключений также может помочь в раннем обнаружении компрометации. Данный инцидент в очередной раз подчёркивает, что сетевое оборудование является критически важным элементом инфраструктуры и требует такого же внимания к вопросам безопасности, как и серверы или рабочие станции.

Детали уязвимостей

Ссылки