Une nouvelle vulnérabilité zero-day de type injection de commande, identifiée sous le nom de CVE-2024-40891, touche les appareils Zyxel de la série CPE, exposant plus de 1 500 appareils accessibles depuis Internet dans le monde entier à des attaques potentielles. Les chercheurs en sécurité ont observé des tentatives d’exploitation active depuis le 21 janvier 2025, les attaquants utilisant des comptes non autorisés tels que « supervisor » ou « zyuser » pour prendre le contrôle du système. Malgré la gravité de la situation, Zyxel n’a pas encore publié d’avis officiel ni de correctif.

Date	03-02-2025 09:26:25
Informations	Exploitation active

Résumé technique

La CVE-2024-40891 est une vulnérabilité critique d’injection de commande à distance qui permet à des attaquants non authentifiés d’exécuter des commandes arbitraires sur les appareils Zyxel CPE concernés via telnet. Cette vulnérabilité est similaire à la CVE-2024-40890, qui exploitait un vecteur d’attaque basé sur HTTP, mais dans ce cas, la CVE-2024-40891 se concentre sur l’accès via telnet. La faille permet aux attaquants d’obtenir le contrôle total de l’appareil, avec des conséquences potentielles telles que le vol de données, la compromission du réseau et des infections à grande échelle par des botnets.

Les chercheurs de GreyNoise et de VulnCheck ont confirmé l’exploitation active de la vulnérabilité, les attaquants ciblant les appareils exposés peu après que le problème a été signalé à certains partenaires de sécurité. En raison du nombre élevé d’attaques, les chercheurs ont divulgué publiquement le problème afin de sensibiliser et de favoriser les mesures défensives.

Recommandations

En attendant la disponibilité d’un correctif officiel, les organisations utilisant des appareils Zyxel de la série CPE devraient adopter les mesures suivantes pour atténuer les risques :

• Surveiller le trafic réseau : surveiller activement les connexions telnet sur les appareils Zyxel pour détecter toute activité suspecte.
• Limiter l’accès : autoriser l’accès administratif uniquement depuis des adresses IP de confiance et désactiver la gestion à distance si elle n’est pas nécessaire.
• Appliquer les mises à jour du fournisseur : vérifier régulièrement la disponibilité des avis de sécurité Zyxel et appliquer immédiatement les correctifs dès leur publication.
• Désactiver les appareils hors support : remplacer les appareils qui ne sont plus pris en charge afin de réduire l’exposition aux menaces futures.

[Callforaction-THREAT-Footer]