合勤不打算修复已达生命周期路由器中的已遭利用漏洞
合勤不打算修复已达生命周期路由器中的已遭利用漏洞
Bill Toulas 代码卫士 2025-02-10 10:30
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
合勤公司发布了关于CPE系列设备中已遭活跃利用漏洞的安全通告称,没有补丁发布计划,督促用户使用受支持的型号。
VulnCheck 在2024年7月发现了这两个漏洞,不过GreyNoise 表示上周发现漏洞遭在野利用的迹象。
网络扫描引擎 FOFA 和 Censys 扫描结果显示,超过1500台合勤 CPE 系列设备暴露在互联网,因此攻击面庞大。VulnCheck 今天披露了这两个漏洞的详情,它们的目的是获得对网络的初始访问权限。
-
CVE-2024-40891:经过身份验证的用户可利用因 libcms_cli.so 中的命令验证不当导致的 Telnet 命令注入漏洞。某些命令(如 ifconfig、ping、tftp)在未经检查的情况下被传递给shell 执行函数,导致利用 shell 元字符的任意命令执行后果。
-
CVE-2025-0890:设备使用很多用户都不会修改的弱默认凭据 (admin:1234, zyuser:1234, supervisor:zyad1234)。该监督账户具有隐藏权限,授予完整的系统访问权限,而zyuser可利用CVE-2024-40891实现远程代码执行。
VulnCheck 披露了完整的利用详情,演示了针对运行固件版本 1.00 (AARF.4)Co_20170615的VMG4325-B10A的PoC。研究人员提醒称,虽然这些设备多年来已经不再受支持,但仍然分布于全球各大网络中。VulnCheck 提到,“虽然这些系统更为老旧且似乎长期不受支持,但因为仍在全球范围内使用且攻击者仍在持续关注,因此仍然具有较高价值。攻击者仍在活跃利用这些路由器表明我们仍需注意,因为理解现实攻击对于有效的安全研究而言至关重要。”
合勤建议替换设备
合勤最新的安全公告证实,VulnCheck 发现的这些漏洞影响多款已达生命周期的产品。该厂商提到,受影响的设备早在多年前就已达生命周期,表明已通过新一代设备取而代之。
合勤在安全公告中提到,“我们已经确认VulnCheck 报送的受影响机型:VMG1312-B10A、VMG1312-B10B、VMG1312-B10E、VMG3312-B10A、VMG3313-B10A、VMG3926-B10B、VMG4325-B10A、VMG4380-B10A、VMG8324-B10A、VMG8924-B10A、SBG3300 和 SBG3500,是已达生命周期多年的遗留产品。因此,我们强烈建议用户用新一代产品替换,获得更好的防护。”
合勤还在公告中提到了另外一个漏洞CVE-2024-40890,它是类似于CVE-2024-40891的认证后命令注入漏洞。
耐人寻味的是,合勤声称尽管已在去年7月开始就要求VulnCheck分享详情报告,但后者从未这么做,而是在未通知的情况下发布了 write-up。
代码卫士试用地址:
https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
原文链接
https://www.bleepingcomputer.com/news/security/zyxel-wont-patch-newly-exploited-flaws-in-end-of-life-routers/
题图:
Pexels
License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “
在看
” 或 “
赞
” 吧~