Zyxel предупреждает о критической уязвимости с RCE, затрагивающей более десятка маршрутизаторов

Тайваньский производитель сетевого оборудования Zyxel сообщил о проблеме в прошивке ряда своих устройств. Сообщается о критической уязвимости CVE-2025-13942 в функции UPnP, которая даёт возможность удалённо выполнять команды на уязвимом маршрутизаторе. Под удар попали модели 4G LTE/5G NR CPE, DSL/Ethernet CPE, оптические терминалы Fiber ONT и беспроводные расширители, говорит Blleping Computer.

Атака возможна через специально сформированные UPnP SOAP-запросы. Одновременно Zyxel подчёркивает, что настройки по умолчанию несколько снижают риск: для атаки необходимо, чтобы на устройстве был включён доступ с WAN, отключённый по умолчанию. Тем не менее организация рекомендует всем пользователям установить свежие патчи с исправлениями.

Ранее Zyxel предупреждала, что не будет выпускать патчи для уязвимостей в устаревших маршрутизаторах — моделях VMG и SBG. Пользователям таких устройств советуют как можно скорее заменить их на более новые.

По данным сервиса Shadowserver, сейчас в интернете доступно приблизительно 120 тысяч устройств Zyxel, из них более 76 тысяч — маршрутизаторы. По собственным данным Zyxel, её сетевые решения используют более миллиона организаций в 150 странах. На этом фоне производитель призывает администраторов своевременно обновлять прошивки и при необходимости отключать неиспользуемые функции, включая UPnP, чтобы снизить вероятность взлома.