Компания Zyxel сообщила о серьезных уязвимостях в устройствах серии CPE, которые активно эксплуатируются хакерами.
Производитель не планирует выпускать патчи и призывает пользователей перейти на новые модели. Уязвимости были обнаружены специалистами VulnCheck еще в июле 2024 года, а в последние недели хакеры начали их использовать.
По данным Censys, более 1500 уязвимых устройств находятся в сетях по всему миру, в основном на Филиппинах, в Турции, Великобритании, Франции и Италии.
Исследователи указали на две критические уязвимости: первая позволяет аутентифицированным пользователям выполнять произвольный код, а вторая связана со слабыми учетными данными по умолчанию, которые многие не меняют.
Zyxel подтвердила, что уязвимые модели устарели, и настоятельно рекомендует их замену. Компания также выразила недовольство тем, что VulnCheck публично раскрыла информацию об уязвимостях, не сообщив об этом им заранее.