- قام Zyxel بتصحيح سبعة عيوب عبر أجهزة متعددة، بما في ذلك CVE-2025-13942 (9.8/10) الحرج
- قد يسمح إدخال الأوامر عبر UPnP بتنفيذ أوامر نظام التشغيل عن بعد في حالة تمكين الوصول إلى WAN وUPnP
- حوالي 120.000 جهاز Zyxel معرض للإنترنت
أكدت شركة Zyxel أنها قامت مؤخرًا بتصحيح ستة نقاط ضعف، بما في ذلك مشكلة الخطورة الحرجة التي سمحت للجهات الفاعلة في مجال التهديد بتنفيذ أوامر عشوائية عن بُعد.
في الاستشارة الأمنية، قامت Zyxel بتفصيل تصحيح ثغرة أمنية في إدخال الأوامر في وظيفة UPnP لبعض إصدارات البرامج الثابتة 4G LTE/5G NR CPE وDSL/Ethernet CPE وFiber ONTs وWireless Extenders. تم تتبع هذه الثغرة الأمنية تحت اسم CVE-2025-13942، وتم منحها درجة خطورة تبلغ 9.8/10 (حرجة).
وقال زيكسيل إنه من خلال إرسال طلبات UPnP SOAP المصممة خصيصًا، يمكن للمهاجمين غير المصادقين تنفيذ أوامر نظام التشغيل على نقطة نهاية ضعيفة، لكنه أكد على أنه يجب استيفاء شروط معينة أولاً.
تصحيح العيوب
وأوضحت الشركة: “من المهم ملاحظة أن الوصول إلى شبكة WAN يتم تعطيله افتراضيًا على هذه الأجهزة، ولا يمكن تنفيذ الهجوم عن بُعد إلا إذا تم تمكين الوصول إلى شبكة WAN ووظيفة UPnP الضعيفة”.
تتأثر العديد من المنتجات، ولكل منها إصدارات البرامج الثابتة الخاصة به. لمعرفة الإصدار الذي يجب تحديث جهازك إليه، تأكد من قراءة القائمة الكاملة هنا. في المجمل، أصلحت Zyxel سبعة عيوب، بما في ذلك اثنتين من نقاط الضعف في حقن أوامر ما بعد المصادقة، وأربعة ثغرات أمنية في عدم مرجعية المؤشر الفارغ.
حتى الآن، لا يوجد دليل على أن أيًا من هذه العيوب يتم إساءة استخدامها في البرية. لم تذكر Zyxel ما إذا كانت قد لاحظت أي هجمات، ولم تقم وكالة CISA الأمريكية بعد بإضافة أي من هذه الهجمات إلى كتالوج الثغرات الأمنية المستغلة (KEV).
وفقًا لمنظمة الأمان غير الربحية Shadowserver Foundation، يوجد حاليًا ما يقرب من 120 ألف جهاز Zyxel معرض للإنترنت، بما في ذلك 76000 جهاز توجيه، لذا فإن سطح الهجوم كبير نوعًا ما. ومع ذلك، لا نعرف عدد الأشخاص المعرضين للخطر.
يحب المتسللون مهاجمة منتجات Zyxel لأن أجهزة التوجيه وجدران الحماية وأجهزة VPN المنتشرة على نطاق واسع غالبًا ما تكشف واجهات الإدارة التي تواجه الإنترنت وقد عانت تاريخيًا من ثغرات أمنية حرجة يمكن استغلالها بسهولة.
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات