CVE-2025-0890 ist eine kritische Sicherheitslücke, die Zyxel VMG4325-B10A Router aufgrund voreingestellter Anmeldedaten betrifft. Diese Anmeldedaten ermöglichen es Angreifern, sich unbefugten Zugriff auf das System via Telnet zu verschaffen, was weitere Ausnutzungsmöglichkeiten erleichtert. Die Schwere des Problems wird dadurch verstärkt, dass es einen Einstiegspunkt für CVE-2024-40891 darstellt, eine authentifizierte Befehlsinjektionsschwachstelle, die zu einer vollständigen Remote Code Execution (RCE) führen kann. Diese Schwachstelle wird aktiv ausgenutzt, wobei Bedrohungsakteure das Konto zyuser ins Visier nehmen, um unbefugten Zugriff zu erlangen, wie durch verschiedene Threat-Intelligence-Quellen bestätigt wurde. Es ist wichtig zu beachten, dass dieselben Anmeldedaten bereits in früheren Malware-Kampagnen, einschließlich BrickerBot, verwendet wurden.

Produkt	Zyxel-Geräte
Datum	10.02.2025 17:31:55
Informationen	Aktive Ausnutzung

Technische Zusammenfassung

Zyxel VMG4325-B10A Router werden mit mehreren voreingestellten Konten ausgeliefert, darunter:

• supervisor:zyad1234
• admin:1234
• zyuser:1234

Diese Anmeldedaten sind in /etc/default.cfg gespeichert, aber über die Weboberfläche nicht sichtbar, wodurch sie von Administratoren leicht übersehen werden können. Das supervisor-Konto verfügt über undokumentierte Telnet-Privilegien, die Zugriff auf versteckte Befehle wie sh gewähren, was eine vollständig interaktive Shell bereitstellt. Obwohl das zyuser-Konto keinen direkten Zugriff auf diese Befehle hat, kann es dennoch beliebigen Code ausführen, indem es die Schwachstelle CVE-2024-40891 ausnutzt.

Ein Angreifer, der diese Anmeldedaten kennt, kann:

1. Eine Telnet-Sitzung unter Verwendung des zyuser-Kontos aufbauen.
2. CVE-2024-40891 ausnutzen, indem Befehle durch nicht korrekt bereinigte Eingaben injiziert werden.
3. Vollständigen Systemzugriff erlangen, was die Exfiltration von Daten, die Manipulation der Firmware oder die Verbreitung persistenter Malware ermöglicht.

Empfehlungen

Um die mit CVE-2025-0890 verbundenen Risiken zu mindern, sollten Unternehmen umgehend folgende Maßnahmen ergreifen:

1. Telnet-Zugriff deaktivieren:

   • Wenn Telnet nicht benötigt wird, deaktivieren Sie es, um unbefugte Fernzugriffe zu verhindern.

2. Voreingestellte Anmeldedaten ändern:

   • Ändern Sie umgehend die Passwörter der Konten supervisor, admin und zyuser in starke, eindeutige Passwörter.
   • Entfernen oder deaktivieren Sie nach Möglichkeit nicht benötigte Konten.

3. Firmware-Updates anwenden:

   • Überprüfen und installieren Sie alle von Zyxel bereitgestellten Firmware-Updates, die diese Schwachstelle beheben.
   • Falls kein Patch verfügbar ist, ziehen Sie den Austausch der betroffenen Geräte durch sicherere Alternativen in Betracht.

4. Netzwerkaktivitäten überwachen:

   • Implementieren Sie Protokollierung und Anomalieerkennung, um unbefugte Zugriffsversuche zu identifizieren.
   • Nutzen Sie Tools wie GreyNoise, um Ausnutzungstrends im Zusammenhang mit dieser Schwachstelle zu überwachen.

5. Fernzugriff einschränken:

   • Wenn eine Fernverwaltung erforderlich ist, beschränken Sie diese auf vertrauenswürdige IP-Adressen und verwenden Sie VPNs, anstatt Dienste direkt dem Internet auszusetzen.

[Callforaction-THREAT-Footer]