Le fabricant de quincaillerie taïwanais Zyxel dit qu'il n'a pas l'intention de publier un patch pour deux vulnérabilités activement exploitées affectant potentiellement des milliers de clients.
La startup de renseignement sur les menaces Greynoise a averti à la fin du mois dernier qu'une vulnérabilité de zéro-jour critique sur les routeurs Zyxel était activement exploitée. Greynoise a déclaré que les défauts permettent aux attaquants d'exécuter des commandes arbitraires sur les appareils affectés, conduisant à un compromis système complet, à une exfiltration de données ou à une infiltration de réseau.
Les vulnérabilités ont été découvertes par l'organisation des menaces de renseignement Vulncheck en juillet de l'année dernière et ont été signalées à Zyxel le mois suivant, selon Greynoise, mais n'avaient pas encore été corrigées ou officiellement divulguées par le fabricant.
Dans un avis de cette semaine, Zyxel a déclaré qu'il avait «récemment» pris conscience des deux vulnérabilités – désormais officiellement suivie sous le nom de CVE-2024-40890 et CVE-2024-40891 – qui, selon lui, affecte plusieurs produits de fin de vie.
La société affirme que les défauts ne lui ont pas été signalés par Vulncheck et ont déclaré qu'il en avait d'abord pris conscience le 29 janvier, un jour après que Greynoise a signalé une exploitation active.
Zyxel, dont les appareils sont utilisés par plus d'un million d'entreprises, dit que comme ces bogues affectent les «produits hérités qui ont atteint la fin de vie (EOL) depuis des années», il n'a pas l'intention de publier des correctifs pour les réparer. Au lieu de cela, l'entreprise conseille aux clients de remplacer les routeurs vulnérables par des «produits de génération plus récents pour une protection optimale».
Dans un article de blog mardi, VulnCheck note que les appareils touchés ne sont pas répertoriés sur la page EOL de Zyxel et dit que certains des modèles affectés sont toujours disponibles à l'achat via Amazon, ce que TechCrunch a confirmé.
« Bien que ces systèmes soient plus âgés et apparemment depuis longtemps, ils restent très pertinents en raison de leur utilisation continue dans le monde et de l'intérêt soutenu des attaquants », a déclaré Jacob Baines, CTO chez Vulncheck.
Selon Censys, un moteur de recherche pour les appareils Internet des objets et les actifs Internet, près de 1 500 appareils vulnérables restent exposés à Internet.
Dans une mise à jour la semaine dernière, Greynoise a déclaré qu'il avait observé des botnets détectés, notamment Mirai, exploitant l'une des vulnérabilités du zyxel, suggérant qu'elle est utilisée dans des attaques à grande échelle.
Le porte-parole de Zyxel, Birgitte Larsen, n'a pas répondu aux multiples demandes de commentaires de TechCrunch.
GIPHY App Key not set. Please check settings