ISGroup Consultoría de Ciberseguridad

Grave vulnerabilidad zero-day de inyección de comandos en dispositivos Zyxel serie CPE (CVE-2024-40891) bajo explotación activa

Una nueva vulnerabilidad zero-day de tipo Command Injection, identificada como CVE-2024-40891, afecta a los dispositivos Zyxel de la serie CPE, exponiendo a más de 1.500 dispositivos accesibles desde internet en todo el mundo a potenciales ataques. Los investigadores de seguridad han observado intentos de explotación activa desde el 21 de enero de 2025, con atacantes que utilizan cuentas no autorizadas como “supervisor” o “zyuser” para obtener el control del sistema. A pesar de la gravedad, Zyxel aún no ha publicado un aviso oficial ni un parche correctivo.

Fecha2025-02-03 09:26:25
Información
  • Explotación activa

Resumen técnico

CVE-2024-40891 es una vulnerabilidad crítica de tipo remote command injection que permite a atacantes no autenticados ejecutar comandos arbitrarios en los dispositivos Zyxel CPE afectados a través de telnet. Esta vulnerabilidad es similar a la CVE-2024-40890, que utilizaba un vector de ataque basado en HTTP, pero en este caso, la CVE-2024-40891 se centra en el acceso mediante telnet. El fallo permite a los atacantes obtener el control total del dispositivo, con consecuencias potenciales como el robo de datos, la vulneración de la red e infecciones a gran escala por parte de botnets.

Los investigadores de GreyNoise y VulnCheck han confirmado la explotación activa de la vulnerabilidad, con atacantes que han tenido como objetivo los dispositivos expuestos poco después de que el problema fuera reportado a determinados socios de seguridad. Debido al elevado número de ataques, los investigadores han divulgado públicamente el problema para aumentar la concienciación y fomentar acciones defensivas.

Recomendaciones

Hasta que esté disponible un parche oficial, las organizaciones que utilizan dispositivos Zyxel CPE Series deben adoptar las siguientes medidas para mitigar los riesgos:

  • Monitorear el tráfico de red: monitorear activamente las conexiones telnet en los dispositivos Zyxel para detectar actividades sospechosas.
  • Limitar el acceso: permitir el acceso administrativo solo desde direcciones IP confiables y desactivar la gestión remota si no es necesaria.
  • Aplicar actualizaciones del proveedor: verificar regularmente la disponibilidad de avisos de seguridad de Zyxel y aplicar los parches inmediatamente en cuanto sean publicados.
  • Desactivar dispositivos fuera de soporte: reemplazar los dispositivos que ya no cuentan con soporte para reducir la exposición a amenazas futuras.

[Callforaction-THREAT-Footer]

In