Zyxel多款旧DSL设备存在2个零日漏洞,无修复措施
💡
原文中文,约1700字,阅读约需4分钟。
📝
内容提要
Zyxel宣布不再修复1500多款旧DSL用户端设备中的两个零日漏洞,这些漏洞已被Mirai僵尸网络利用,攻击者可远程执行命令。受影响设备已停止支持,建议用户更换新设备以确保安全。
🎯
关键要点
- Zyxel宣布不再修复1500多款旧DSL用户端设备中的两个零日漏洞。
- 这两个漏洞已被Mirai僵尸网络利用,攻击者可远程执行命令。
- 受影响设备已停止支持,建议用户更换新设备以确保安全。
- 漏洞CVE-2024-40891和CVE-2024-40890分别涉及HTTP和Telnet攻击向量。
- 攻击者需使用被攻破的凭据才能利用这些漏洞。
- VulnCheck公司报告了这些漏洞,指出受影响设备预先配置有硬编码账户。
- Zyxel表示受影响设备已达到产品生命周期终止状态,建议客户替换为新一代设备。
❓
延伸问答
Zyxel的哪些设备受到零日漏洞影响?
受影响的设备包括VMG1312-B10A、VMG1312-B10B、VMG1312-B10E等1500多款旧DSL用户端设备。
Zyxel为什么不修复这些零日漏洞?
因为这些设备已经停止支持,且达到了产品生命周期终止状态,因此不再提供修复措施。
这两个零日漏洞的攻击方式是什么?
漏洞CVE-2024-40891和CVE-2024-40890分别涉及HTTP和Telnet攻击向量,攻击者可远程执行命令。
用户应该如何保护自己免受这些漏洞的影响?
建议用户更换为新一代设备,以确保安全,避免使用受影响的旧设备。
攻击者如何利用这些漏洞?
攻击者需要使用被攻破的凭据登录受影响的设备,才能利用这些漏洞进行攻击。
VulnCheck公司对这些漏洞的发现有什么贡献?
VulnCheck公司报告了这些漏洞,并指出受影响设备预先配置有硬编码账户,增加了被攻击的风险。
➡️
