ISGroup Consultoría de Ciberseguridad

CVE-2025-0890: Credenciales predeterminadas en routers Zyxel VMG4325-B10A permiten la ejecución remota de código

CVE-2025-0890 es una vulnerabilidad de seguridad crítica que afecta a los routers Zyxel VMG4325-B10A debido a la presencia de credenciales predeterminadas. Dichas credenciales permiten a los atacantes obtener acceso no autorizado al sistema a través de Telnet, facilitando formas adicionales de explotación. La gravedad del problema se ve acentuada por el hecho de que constituye un punto de entrada para la CVE-2024-40891, una vulnerabilidad de inyección de comandos autenticada que puede conducir a la ejecución remota de código (RCE) completa. Esta vulnerabilidad está siendo explotada activamente, con actores de amenazas que apuntan a la cuenta zyuser para obtener acceso no autorizado, tal como han confirmado diversas fuentes de inteligencia sobre amenazas. Es importante señalar que las mismas credenciales ya han sido utilizadas en campañas de malware anteriores, incluyendo BrickerBot.

ProductoDispositivos Zyxel
Fecha2025-02-10 17:31:55
Información
  • Explotación activa

Resumen técnico

Los routers Zyxel VMG4325-B10A se suministran con múltiples cuentas predeterminadas, incluyendo:

  • supervisor:zyad1234
  • admin:1234
  • zyuser:1234

Estas credenciales están almacenadas en /etc/default.cfg pero no son visibles a través de la interfaz web, lo que las hace fácilmente ignoradas por los administradores. La cuenta supervisor dispone de privilegios de Telnet no documentados, que conceden acceso a comandos ocultos como sh, el cual proporciona una shell completamente interactiva. Aunque la cuenta zyuser no tiene acceso directo a dichos comandos, puede ejecutar código arbitrario aprovechando la CVE-2024-40891.

Un atacante que conozca estas credenciales puede:

  1. Establecer una sesión Telnet utilizando la cuenta zyuser.
  2. Explotar la CVE-2024-40891 inyectando comandos a través de entradas no saneadas correctamente.
  3. Obtener acceso total al sistema, permitiendo la exfiltración de datos, la manipulación del firmware o la distribución de malware persistente.

Recomendaciones

Para mitigar los riesgos asociados con la CVE-2025-0890, las organizaciones deben adoptar inmediatamente las siguientes acciones:

  1. Deshabilitar el acceso Telnet:

    • Si Telnet no es necesario, deshabilítelo para prevenir accesos remotos no autorizados.

  2. Modificar las credenciales predeterminadas:

    • Cambie inmediatamente las contraseñas de las cuentas supervisor, admin y zyuser por contraseñas robustas y únicas.
    • Si es posible, elimine o deshabilite las cuentas que no sean necesarias.

  3. Aplicar actualizaciones de firmware:

    • Verifique y aplique cualquier actualización de firmware proporcionada por Zyxel que resuelva esta vulnerabilidad.
    • En ausencia de un parche, considere la sustitución de los dispositivos afectados por alternativas más seguras.

  4. Monitorear la actividad de red:

    • Implemente registro (logging) y detección de anomalías para identificar intentos de acceso no autorizados.
    • Utilice herramientas como GreyNoise para monitorear las tendencias de explotación relacionadas con esta vulnerabilidad.

  5. Limitar el acceso remoto:

    • Si la gestión remota es necesaria, limítela a direcciones IP de confianza y utilice VPN en lugar de exponer directamente los servicios a Internet.

[Callforaction-THREAT-Footer]

In