Zyxel CPE 设备遭遇大规模攻击：关键漏洞（CVE-2024-40891）仍未修复！

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

🚨 Zyxel 用户请注意！  

一场针对 Zyxel CPE 系列电信设备 的大规模网络攻击正在进行，而制造商至今仍未发布安全补丁！该漏洞（CVE-2024-40891）已被攻击者利用，可能导致系统完全失陷、网络被渗透、甚至敏感数据被窃取。  

🔍 漏洞详情：CVE-2024-40891

➡️ 漏洞类型： 命令注入（Command Injection）  

➡️ 影响范围： Zyxel CPE 系列设备（面向互联网的管理接口）  

➡️ 发现时间： 2024年7月由 VulnCheck 首次披露  

➡️ 修复情况： 仍未修补！（截至 2025年1月）  

➡️ 主要影响地区： 菲律宾、土耳其、欧洲  

知名安全公司 GreyNoise 近期警告，该漏洞已被黑客武器化，并被 Mirai 变种恶意软件集成，攻击者正通过 Telnet 服务 进行远程命令执行。  

GreyNoise 高级安全研究总监 Glenn Thorpe 解释道：  

> “CVE-2024-40891 与 CVE-2024-40890 类似，区别在于前者基于 Telnet，后者基于 HTTP。两者都允许未认证的攻击者利用服务账户（如 `supervisor` 或 `zyuser`）执行任意命令。”  

⚠️ 也就是说，一旦设备暴露在公网，攻击者无需凭据即可接管整个系统！  

🚀 黑客如何利用 CVE-2024-40891 进行攻击？

#🔹 Mirai 变种瞄准 Zyxel 设备

GreyNoise 研究团队分析了攻击源IP，发现它们与 Mirai 僵尸网络 高度重叠，表明该漏洞已被多个黑客组织利用，目标是将受感染设备变成DDoS 攻击的“肉鸡”。  

#🔹 未授权访问 & 远程命令执行

攻击者利用 Telnet 服务漏洞，绕过认证，然后执行恶意指令，可能导致：  

✅ 植入后门，长期控制设备  

✅ 窃取网络流量，监听敏感数据  

✅ 横向渗透，攻击企业或家庭网络  

✅ 加入僵尸网络，发动DDoS攻击  

GreyNoise 进一步警告：  

> “如果攻击者尝试登录目标设备，他们很可能已经成功入侵。”  

🛡️ 如何防止被攻击？

由于官方尚未发布补丁，企业和个人用户必须立即采取应对措施！  

🔹 防御建议：

✔ 限制管理接口访问：仅允许受信任的IP连接管理端口  

✔ 禁用远程管理功能：若非必要，关闭远程访问  

✔ 监控官方公告：关注 Zyxel 未来的补丁发布  

✔ 启用入侵检测：监控异常的 Telnet 访问和指令执行  

⚠️ 特别提醒： 如果你的设备暴露在公网，请尽快检查是否已被入侵，并考虑临时更换设备或采用防护方案！  

⏳ Zyxel 的安全响应为何迟缓？

尽管 Zyxel 在 2024年9月 为其 NAS 设备推出了补丁，但本次 CPE 设备漏洞（CVE-2024-40891）已被公开6个月，仍未修复，引发了安全界的强烈担忧！  

甚至在不久前，Zyxel 还因推送错误的防火墙更新导致设备陷入 “无限重启” 问题，进一步损害了用户信任。  

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友入圈沟通交流。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：Zyxel CPE 设备遭遇大规模攻击：关键漏洞（CVE-2024-40891）仍未修复！