Zyxel sotto assedio: router EOL scatenano ondata di ransomware

I prodotti tecnologici hanno inevitabilmente un ciclo di vita limitato, ma la gestione della fine del supporto (EOL/EOS) da parte dei fornitori spesso lascia i clienti in una posizione vulnerabile, con preavvisi brevi e senza alcun diritto di recesso. Quando un produttore dichiara un articolo End-of-Life (EOL) o End-of-Service (EOS), gestire i rischi associati diventa più complicato. Tali rischi si intensificano quando i cybercriminali identificano e sfruttano vulnerabilità che non sono mai state eliminate tramite patch. In particolare, quando un prodotto EOL diventa vulnerabile, gli utenti si trovano costretti ad adottare ulteriori controlli di sicurezza per proteggere i propri sistemi.

La situazione diventa particolarmente critica e può sfociare in una vera e propria “tempesta perfetta” se emerge che il fornitore continua a vendere prodotti EOL con vulnerabilità note, esponendo i clienti a rischi significativi. In questo articolo esamineremo diversi avvisi di sicurezza riguardanti i prodotti Zyxel, compresi alcuni classificati come EOL (End-of-Life), e una vulnerabilità sfruttata negli attacchi ransomware.

Recenti falle di sicurezza nei prodotti Zyxel

Il CVE-2024-40891 è una grave vulnerabilità di tipo command injection nell’implementazione Telnet di alcuni dispositivi CPE (Customer Premises Equipment) Zyxel, nota dal 2024. Nei sei mesi successivi alla scoperta, Zyxel non ha rilasciato alcuna patch per risolvere il problema. L’azienda ha confermato che non verranno forniti aggiornamenti di sicurezza, poiché i dispositivi interessati “sono prodotti legacy che hanno raggiunto la fine del ciclo di vita (EOL)”. All’inizio del 2025, GreyNoise ha riportato lo sfruttamento attivo del CVE-2024-40891 contro dispositivi di rete CPE Zyxel vulnerabili. A metà febbraio 2025, questo CVE e il CVE-2024-40890 (CVSS 8.8) sono stati inseriti nella lista KEV (Known Exploited Vulnerabilities) della CISA (Cybersecurity and Infrastructure Security Agency). Mentre i primi due CVE rappresentavano vulnerabilità RCE post-autenticazione, il nuovo CVE-2025-0890 (CVSS 9.8), pubblicato il 4 febbraio, ha completato il quadro critico. Questo CVE evidenzia l’uso di credenziali predefinite estremamente deboli per i servizi accessibili da remoto, combinate con l’assenza di crittografia nel processo di autenticazione Telnet.

I ricercatori di VulnCheck, che inizialmente avevano scoperto le vulnerabilità, hanno evidenziato che il produttore continua a vendere dispositivi vulnerabili pur essendo al corrente che le falle di sicurezza sono sfruttate in modo attivo, senza alcuna intenzione di rilasciare patch. Il 25 febbraio 2025, alcuni dei prodotti interessati risultavano ancora in vendita sul negozio ufficiale Zyxel di Amazon[1][2]. In più, un’ulteriore falla di sicurezza nei prodotti Zyxel (CVE-2024-11667), è stata sfruttata attivamente per sferrare attacchi ransomware Helldown.

Nel settore delle telecomunicazioni, Zyxel detiene una quota di mercato stimata al 4,19% e serve circa 2.277 aziende, inclusi alcuni dei più grandi giganti tecnologici mondiali. Con sede a Hsinchu Science Park, Taiwan, il gruppo Zyxel è fornitore leader di soluzioni di rete per imprese e privati e opera in oltre 150 paesi in tutto il mondo.

Cronologia degli eventi:

• 13/07/2024: VulnCheck informa Zyxel circa la presenza di falle di sicurezza nei prodotti della serie CPE.
• 31/07/2024: VulnCheck pubblica sul suo blog informazioni relative al CVE-2024-40890 e CVE-2024-408911.
• 28/01/2025: GreyNoise segnala lo sfruttamento attivo del CVE-2024-40891.
• 03/02/2025: VulnCheck pubblica ulteriori informazioni che sottolineano il rischio derivante dalla posizione di Zyxel e fornisce prove che il fornitore continua a vendere online i dispositivi vulnerabili.
• 04/02/2025: Zyxel pubblica un avviso di sicurezza che identifica i prodotti interessati come EOL e afferma che non verranno più aggiornati.

Descrizioni tecniche delle ultime vulnerabilità di Zyxel

Oltre ai lunghi tempi di risposta di Zyxel nei confronti dei ricercatori di sicurezza e alla decisione dell’azienda di continuare a vendere prodotti vulnerabili, la valutazione tecnica delle vulnerabilità ci permette di trarre alcune conclusioni. In particolare spicca il fatto che alcuni fornitori continuino a commercializzare prodotti con falle di sicurezza inaccettabili, evitando così di assumersi la responsabilità.

• CVE-2024-40891 (CVSS 8.8 High): gli utenti autenticati possono sfruttare un’iniezione di comando Telnet a causa di una convalida inadeguata dell’input nella libreria `libcms_cli.so`. I comandi vengono inviati senza verifica a una funzione di esecuzione della shell, che l’esecuzione di qualsiasi codice RCE. Pur controllando se la stringa inizia con un comando autorizzato, la funzione `prctl_runCommandInShellWithTimeout` non applica ulteriori filtri, permettendo il concatenamento e l’inserimento di comandi arbitrari.
• CVE-2024-40890 (CVSS 8.8 High): una vulnerabilità di Post-Authentication Command Injection nel programma CGI del DSL legacy Zyxel VMG4325-B10A Firmware Version 1.00(AAFR.4)C0_20170615 potrebbe consentire a un utente malintenzionato autenticato di eseguire comandi del sistema operativo su un dispositivo interessato inviando una richiesta http post manomessa.
• CVE-2025-0890 (CVSS 9.8 Critical): l’uso di credenziali standard deboli come “admin:1234”, “zyuser:1234” e “supervisor:zyad1234” nei dispositivi Zyxel CPE rappresenta una grave vulnerabilità di sicurezza. Queste credenziali e i relativi account, sebbene non visibili tramite l’interfaccia web, sono facilmente accessibili nel file /etc/default.cfg del dispositivo, rendendoli noti agli aggressori. Gli account “supervisor” e “zyuser” possono accedere ai dispositivi da remoto tramite Telnet, dove “supervisor” gode di diritti nascosti per l’accesso completo al sistema e “zyuser” può sfruttare la vulnerabilità CVE-2024-40891 per eseguire codice arbitrario (RCE). Questa pratica viola principi di sicurezza fondamentali come l’obbligo CISA “Secure by Design” e il futuro Cyber Resilience Act (CRA) dell’UE

I prodotti Zyxel interessati comprendono la serie VMG1312-B (VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A) e due router della serie Zyxel Business Gateway (SBG3300 e SBG3500). I dispositivi della serie Zyxel CPE (Customer Premises Equipment) sono progettati per connettere a Internet abitazioni private e piccole imprese, fungendo da gateway per vari tipi di connessione come DSL, fibra ottica e wireless. Solitamente sono installati presso il cliente, consentono il collegamento alla rete dell’Internet Service Provider (ISP) e per loro natura non sono protetti da un firewall esterno. Considerando che i CPE Zyxel sono molto diffusi e che possono presentare vulnerabilità, è plausibile pensare che un numero significativo di questi dispositivi possa essere coinvolto in attività botnet dannose.

Greenbone è in grado di rilevare i dispositivi Zyxel EOL che presentano vulnerabilità come specificato nei CVE elencati in precedenza.

CVE-2024-11667: firewall Zyxel sfruttati per attacchi ransomware

Il CVE-2024-11667 (CVSS 9.8 Critical), pubblicato a fine dicembre 2024, rappresenta un errore di tipo Path-Traversal [CWE-22] individuato nella console di gestione web delle serie di firewall Zyxel ATP e USG Flex. Questa vulnerabilità è nota per essere sfruttata dal gruppo di minacce Helldown in attacchi ransomware, ed è stata oggetto di numerosi avvisi di sicurezza informatica nazionali[1][2].

Il gruppo ransomware Helldown è noto dall’agosto 2024 come importante attore di minacce nel panorama della sicurezza informatica. La sua strategia si basa su una doppia estorsione: prima esfiltra dati sensibili dalle organizzazioni bersaglio, poi utilizza il ransomware per crittografare i sistemi delle vittime. In caso di mancato pagamento del riscatto, Helldown minaccia di pubblicare i dati sottratti sul proprio sito Data Leak. Helldown non si limita a sfruttare le vulnerabilità dei dispositivi Zyxel, ma è noto anche per colpire sistemi operativi Windows, ambienti VMware ESX e Linux. Spesso, il gruppo utilizza credenziali VPN compromesse per muoversi lateralmente all’interno delle reti target.

Zyxel ha effettivamente pubblicato un avviso riguardante gli attacchi ransomware e ha rilasciato patch per i prodotti interessati dalle vulnerabilità. Greenbone è in grado di rilevare i dispositivi Zyxel interessati dal CVE-2024-11667 attraverso tre test distinti di riconoscimento delle versioni, specifici per ciascun prodotto colpito[1][2][3].

Per riassumere

Quanto accaduto a Zyxel rappresenta effettivamente una “tempesta perfetta” nel campo della sicurezza informatica e solleva importanti questioni circa le opzioni a disposizione dei clienti quando un fornitore non chiude una falla di sicurezza. I dispositivi di rete Zyxel a fine vita (EOL) continuano a essere bersaglio di attacchi attivi che sfruttano vulnerabilità che, se combinate, possono portare a gravi compromissioni come l’esecuzione remota di codice (RCE) non autorizzata. La gravità della situazione è evidenziata dall’inclusione di CVE-2024-40891, CVE-2024-40890 e CVE-2025-0890 nella lista KEV della CISA, mentre il CVE-2024-11667 è collegato direttamente ad attacchi ransomware. I ricercatori di VulnCheck, che hanno scoperto numerose vulnerabilità simili, hanno mosso critiche a Zyxel per la comunicazione inadeguata e la continua vendita di dispositivi EOL privi di patch. In risposta a questa situazione critica, Greenbone offre una soluzione proattiva. L’azienda ha sviluppato strumenti in grado di rilevare i prodotti Zyxel vulnerabili, consentendo agli utenti di adottare un approccio preventivo alla gestione delle vulnerabilità.