La CVE-2025-0890 est une vulnérabilité de sécurité critique affectant les routeurs Zyxel VMG4325-B10A en raison de la présence d’identifiants par défaut. Ces identifiants permettent à des attaquants d’obtenir un accès non autorisé au système via Telnet, facilitant ainsi d’autres formes d’exploitation. La gravité du problème est accentuée par le fait qu’il constitue un point d’entrée pour la CVE-2024-40891, une vulnérabilité d’injection de commandes authentifiée pouvant mener à une exécution de code à distance (RCE) complète. Cette vulnérabilité est activement exploitée, des acteurs malveillants ciblant le compte zyuser pour obtenir des accès non autorisés, comme le confirment certaines sources de renseignement sur les menaces. Il est important de noter que ces mêmes identifiants ont déjà été utilisés dans des campagnes de logiciels malveillants précédentes, notamment BrickerBot.

Produit	Appareils Zyxel
Date	10-02-2025 17:31:55
Informations	Exploitation active

Résumé technique

Les routeurs Zyxel VMG4325-B10A sont fournis avec plusieurs comptes par défaut, notamment :

• supervisor:zyad1234
• admin:1234
• zyuser:1234

Ces identifiants sont stockés dans /etc/default.cfg mais ne sont pas visibles via l’interface web, ce qui les rend facilement négligeables pour les administrateurs. Le compte supervisor dispose de privilèges Telnet non documentés, accordant l’accès à des commandes cachées telles que sh, qui fournit un shell entièrement interactif. Bien que le compte zyuser n’ait pas d’accès direct à ces commandes, il peut tout de même exécuter du code arbitraire en exploitant la CVE-2024-40891.

Un attaquant connaissant ces identifiants peut :

1. Établir une session Telnet en utilisant le compte zyuser.
2. Exploiter la CVE-2024-40891 en injectant des commandes via des entrées mal assainies.
3. Obtenir un accès complet au système, permettant l’exfiltration de données, la manipulation du firmware ou le déploiement de logiciels malveillants persistants.

Recommandations

Pour atténuer les risques associés à la CVE-2025-0890, les organisations doivent immédiatement adopter les mesures suivantes :

1. Désactiver l’accès Telnet :

   • Si Telnet n’est pas nécessaire, désactivez-le pour empêcher les accès distants non autorisés.

2. Modifier les identifiants par défaut :

   • Changez immédiatement les mots de passe des comptes supervisor, admin et zyuser par des mots de passe robustes et uniques.
   • Si possible, supprimez ou désactivez les comptes inutilisés.

3. Appliquer les mises à jour du firmware :

   • Vérifiez et appliquez les mises à jour du firmware fournies par Zyxel qui corrigent cette vulnérabilité.
   • En l’absence de correctif, envisagez de remplacer les appareils concernés par des alternatives plus sécurisées.

4. Surveiller l’activité réseau :

   • Mettez en œuvre la journalisation et la détection d’anomalies pour identifier les tentatives d’accès non autorisées.
   • Utilisez des outils comme GreyNoise pour surveiller les tendances d’exploitation liées à cette vulnérabilité.

5. Limiter l’accès distant :

   • Si la gestion à distance est nécessaire, limitez-la à des adresses IP de confiance et utilisez des VPN au lieu d’exposer directement les services sur Internet.

[Callforaction-THREAT-Footer]