Des chercheurs en sécurité de GreyNoise ont observé des attaques actives en passant par une vulnérabilité critique d'injection de commande dans plusieurs routeurs Zyxel. La faille de type zero day, référencée en tant que CVE-2024-40891 avait été révélée au fournisseur taiwanais depuis le 1er août 2024. "Les attaquants peuvent tirer parti de cette vulnérabilité pour exécuter des commandes arbitraires sur les appareils concernés, ce qui peut entraîner la compromission complète du système, l'exfiltration de données ou l'infiltration du réseau. Au moment de la publication, Censys [NDLR: entreprise spécialisée dans l'analyse de la surface d'attaque] signale plus de 1 500 équipements vulnérables en ligne.", prévient GreyNoise. Cette vulnérabilité est très similaire à une précédente déjà connue, CVE-2024-40890, sachant que la principale différence étant que la première est basée sur telnet tandis que la seconde est basée sur HTTP. "Les deux failles permettent à des attaquants non authentifiés d'exécuter des commandes arbitraires en utilisant des comptes de service (superviseur et/ou zyuser)", prévient GreyNoise.

Zyxel vient finalement de reconnaitre les CVE-2024-40890 et CVE-2024-40891 et est aussi au courant que VulnCheck va publier les détails techniques sur leur blog ouvrant la voie à des PoC d'exploit ce qui n'a pas l'air de déranger plus que cela le fournisseur. "Nous avons confirmé que les modèles affectés signalés par VulnCheck, VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300, et SBG3500, sont des produits anciens qui ont atteint leur fin de vie depuis des années. Par conséquent, nous recommandons vivement aux utilisateurs de les remplacer par des produits de nouvelle génération pour une protection optimale."

Bien qu'il ne soit plus supportés ni officiellement commercialisés par Zyxel, certains modèles de routeur sont toutefois encore disponibles à l'achat sur des plateformes en ligne comme Amazon a noté VulnCheck. Compte-tenu de la situation, tout utilisateur de ces anciens modèles de routeurs ne doivent prendre aucun risque et arrêter dès que possible leur utilisation.