Zyxel NR-серия Маршрутизаторы

Продукт
Разработчики: Zyxel Communications
Дата премьеры системы: 2020/11/16
Дата последнего релиза: 2023/02/01
Технологии: Маршрутизаторы (роутеры)

Содержание

Основная статья: Роутеры (мировой рынок)

2025: Хакеры начали эксплуатировать уязвимость в модемах Zyxel, а исправлений нет

ФСТЭК в конце января разослала предупреждение о критической уязвимости BDU:2025-00886[1], которая еще летом 2024 года была обнаружена в устройствах Zyxel серии CPE. Ошибка так и не была исправлена производителей, поэтому для нее установлен уровень опасности 10 из 10 по метрике CVSS версии 3. Причем в январе компания GreyNoise подтвердила случаи ее эксплуатации, что говорит о возросшей опасности для пользователей соответствующих устройств.

«
По данным на февраль 2025 года в сети было обнаружено более 1500 уязвимых устройств Zyxel CPE, большая часть которых находится на Филиппинах, в Турции, Великобритании, Италии и Франции, – привел для читателей TAdviser статистику Андрей Шабалин, аналитик по информационной безопасности NGR Softlab. – В России же данное оборудование менее распространено в корпоративной среде, но все же может встречаться у небольших компаний, а также у некоторых операторов связи, использующих Zyxel для организации доступа в интернет. Эксперты GreyNoise подтвердили, что уязвимость BDU:2025-00886 уже активно эксплуатируется. Она была обнаружена еще летом 2024 года, однако рекомендации по снижению рисков ее эксплуатации появились только в начале 2025 года.
»

Как сказано в предупреждении ФСТЭК уязвимость микропрограммного обеспечения сетевых устройств Zyxel серии CPE существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные команды с привилегиями «supervisor» или «zyuser» с помощью отправки специально сформированных сетевых запросов по протоколу telnet.

«
Насколько нам известно, для уязвимости BDU:2025-00886 пока нет эксплойтов в свободном доступе, но возможно они уже появились в приватных каналах, – предположил в общении с TAdviser Сергей Беляев, аналитик угроз центра исследования киберугроз Solar 4RAYS ГК «Солар». – По крайней мере, в некоторых публичных источниках содержится информация о том, что популярный ботнет Mirai внедрил эксплойт для этой уязвимости в свои скрипты и использует их для взлома устройств.
»

Следует отметить, что устройства Zyxel серии DSL CPE представляют собой компактные маршрутизаторы с интегрированной технологией Wi-Fi версии 6, которая работает в диапазонах частот 2,4 ГГц и 5 ГГц, что позволяет использовать для его взлома в том числе и беспроводное подключение, ограничить которое достаточно сложно.

Wi-Fi-маршрутизаторы Zyxel CPE могут использоваться для проникновения в корпоративную сеть по беспроводному соединению или через домашних пользователей

«
Оборудование Zyxel широко распространено в России и странах СНГ, — считает Игорь Душа, директор портфеля решений экосистемы в области информационной безопасности «Нота Купол». — По официальным данным, продажи компании продолжают расти, что свидетельствует о значительном числе установленных устройств, в том числе потенциально уязвимых.
»

Правда, возможно, что эти устройства в основном поставляются частным пользователям, а не компаниям. Тем не менее захват домашнего маршрутизатора при дистанционной форме работы современных ИТ-специалистов может привести к проблемам с безопасностью сети всей компании. Поэтому при организации защиты от этой угрозы стоит рассчитывать не только на возможность атаки по сети через дистанционное подключение, но и через Wi-Fi, в том числе и домашних пользователей.

«
Несмотря на широкий ассортимент решений Zyxel, на практике лишь немногие компании используют CPE этого производителя на ядре или на периметре своей сети. Однако, такие ситуации всё же встречаются, – заявил для TAdviser Денис Бандалетов, руководитель отдела сетевых технологий Angara Security. – Проблемы могут возникнуть у рядовых пользователей домашнего Интернета, которые используют CPE Zyxel для подключения к провайдеру, особенно в случае, когда используется «белый» IP-адрес. Пользователи могут даже не подозревать о наличии уязвимости. Между тем, злоумышленники, используя её, могут не только вывести оборудование из строя, но и похитить передаваемые данные, включая трафик банковских приложений и другую чувствительную информацию, путем перенастройки оборудования для перенаправления трафика через свои системы.
»

Устройства этой серии предназначены для эксплуатации в домашних условиях в сетях домовых провайдеров, поэтому их интерфейсы часто не видны из открытого интернета. Однако они могут быть атакованы как через Wi-Fi, так и через отраженную атаку – с помощью специально сформированного JavaScript-сценария или простой ссылки типа «telnet://192.168.1.1…», при нажатии на которую не осмотрительным пользователем будет атакован его домашний маршрутизатор. Возможно, именно по такому сценарию и пошли разработчики ботнета Mirai. Таким образом, уязвимость вполне может быть использована для проникновения в периметр оператора или организации, если уязвимое устройство находится внутри его сети.

«
Возможность использования нападающим этой уязвимости для проникновения в корпоративные сети зависит от того, были ли уже реализованы меры по ограничению доступа к управляющему интерфейсу устройств извне, – пояснил для читателей TAdviser Денис Чигин, руководитель отдела технологической экспертизы ГК Softline. – Если устройство доступно для пользователей вне корпоративной сети, то содержащие соответствующую уязвимость прошивки на действующем оборудовании позволят злоумышленнику попытаться получить возможность искомого выполнения команд на них. Если же базовые меры безопасности были предприняты, вероятность эксплуатации уязвимости злоумышленником, естественно, заметно снижается.
»

Протокол telnet уже давно признан устаревшим, и его поддержка как программным обеспечением, так и в устройствах ограничена. Рекомендации как служб ИБ, так и производителей оборудования заключаются в том, чтобы отказаться от использования telnet в пользу более защищенных SSH или HTTPS, однако до сих пор остаются пользователи, которые считают, что telnet можно безопасно использовать внутри защищенного периметра.

«
Крайне маловероятно, что обнаруженная ошибка будет использована для проникновения в корпоративные сети, так как практики оставлять наружу доступ по протоколу telnet нет уже давно, – считает Дмитрий Авраменко, начальник отдела внедрения инфраструктурных и сетевых решений Cloud Networks. – Даже внутри сети доступ по telnet используют в исключительных случаях. Вместо этого сейчас отдают предпочтение более защищенным протоколам SSH или HTTPS. Для защиты конкретно от этой уязвимости, в случае если протокол telnet ещё используется, от него необходимо отказаться.
»

Рекомендации ФСТЭК для защиты от данной уязвимости не отличаются оригинальностью. Они следующие:

  • Использование средств межсетевого экранирования для ограничения удаленного доступа к уязвимому программному средству;
  • Формирование «белого» списка IP-адресов для ограничения доступа к уязвимому программному средству;
  • Применение защищенных коммуникаций для организации удаленного доступа.

В общем же случае для защиты от подобных уязвимостей в коммуникационном оборудовании Дмитрий Авраменко рекомендует выполнять следующие меры:

  • Сегментация сетей – отделение сети управления от пользовательских сегментов, с запретом доступа из пользовательских сетей в сети управления;
  • Отключение уязвимых и не используемых протоколов управления (telnet, http и т.д.);
  • Блокирование учетных записей по умолчанию (при невозможности - смена пароля), и использование надежных паролей для учетных записей с их регулярной сменой, а лучше – вход через централизованные системы управления доступом (SSO);
  • Обновление ПО до актуальных версий.

Правда, последний совет для данного случая не сработает – производитель так и не выпустил исправлений для своего оборудования.

2023: Устранение четырех уязвимостей

Компания Zyxel устранила четыре уязвимости, обнаруженные экспертом Positive Technologies Никитой Абрамовым, в нескольких сериях Wi-Fi-роутеров. Оборудование использует технологии 4G и 5G для работы с сетями операторов сотовой связи. Об этом компания Positive Technologies сообщила 1 февраля 2023 года.

Уязвимые роутеры могут применяться в домах, в корпоративной среде, а также в удаленных подразделениях и на производственных объектах. Кроме того, найденные и закрытые уязвимости затронули и другие сетевые устройства Zyxel: оптические сетевые терминалы, интернет-шлюзы, усилители Wi-Fi.«Гознак» развивает систему «Электронный бюджет» с помощью импортозамещенных решений экосистемы EvaTeam 4.9 т

Ошибки выявлены в следующих устройствах:

  • роутеры 4G LTE CPE: LTE3202-M437, LTE3316-M604, LTE7480-M804, LTE490-M904;
  • роутеры 5G NR: NR5103, NR5103E, NR7101, NR7102, NR7103;
  • оптические сетевые терминалы (PM7320-B0 и др.), интернет-шлюзы (EX5510-B0 и др.), усилители Wi-Fi (WX3100-T0 и др.).

«
Среди обнаруженных уязвимостей наибольший интерес представляла ошибка CVE-2022-43389 (оценка 8.6 по шкале CVSS v3.0), связанная с переполнением буфера на стеке, — рассказал Никита Абрамов. — Она не требовала аутентификации и приводила к выполнению произвольного кода на устройстве. Таким образом, злоумышленник мог получить удаленный доступ к устройству и полностью контролировать процесс его работы. В частности, под угрозой был передаваемый трафик. Кроме того, существовал риск отказа в обслуживании, что потенциально позволяло оставить без связи конечный объект инфраструктуры.
»

Две другие уязвимости позволяли злоумышленнику внедрять системные команды от имени пользователя, прошедшего аутентификацию (CVE-2022-43391, оценка 7.1, и CVE-2022-43392, оценка 7.1). На уязвимом устройстве можно было выполнить некоторые системные команды, отправив HTTP-запрос. Еще одна уязвимость (CVE-2022-43390, оценка 5.4) связана, как и первая, с переполнением буфера. На момент исследования уязвимые устройства Zyxel можно было обнаружить c помощью поисковых систем, в основном в ЮАР и странах Европы.

По словам исследователя, многие уязвимости, связанные с переполнением буфера, возникают при неправильной работе с памятью, ее размером и распределением или на этапе парсинга данных, а при внедрении команд — с отсутствием фильтрации некоторых спецсимволов. Очень часто такие ошибки появляются из-за невнимательности разработчика или из-за недостаточного тестирования. Для их устранения необходимо использовать средства анализа и тестирования исходного кода на этапе разработки.

Для устранения уязвимостей следует обновить прошивку своего устройства согласно рекомендациям производителя, описанным в уведомлении о безопасности. Компания подчеркивает, что на большинстве устройств, подверженных этим ошибкам, доступ к глобальной сети по умолчанию отключен, что обеспечивает дополнительную защиту.

2020: NR7101, NR5101 и NR2101

16 ноября 2020 года компания Zyxel объявила о доступности линейки своих продуктов с поддержкой 5G, массовое производство которых началось во втором квартале 2020 года.

NR7101, NR5101 и NR2101

По информации компании, на ноябрь 2020 года клиентам требуется скоростное подключение к Интернету с минимальными задержками передачи данных. Однако у некоторых домашних пользователей нет доступа к широкополосному каналу связи. С помощью продуктов Zyxel на базе технологии 5G стали доступны широкополосные масштабируемые сервисы и скоростное подключение к Интернету, а также возможность оптимизировать безопасность сетевой инфраструктуры и повысить гибкость ее развертывания.

Zyxel предлагает портфель продуктов 5G для использования на улице, в помещениях и в поездках, в том числе:

  • Уличный маршрутизатор 5G (NR7101)
  • Маршрутизатор для помещений 5G (NR5101)
  • Портативный маршрутизатор 5G (NR2101)

С помощью этих устройств Zyxel можно обеспечить широкополосный доступ к Интернету в любом месте. В сочетании с технологией Wi-Fi 6 решения Zyxel 5G обеспечивают надлежащее качество скоростного Wi-Fi без мертвых зон для потребителей.

Вместе с решениями Zyxel 5G поставляется мобильное приложение, которое упрощает настройку конфигурации маршрутизаторов и их подключение к сети. Это мобильное приложение оптимизирует развертывание и избавляет от необходимости выезда сервисного инженера для настройки абонентского оборудования. Пользователи также могут использовать мобильное приложения чтобы найти место, где лучше всего принимается сигнал 5G, и установить там свой маршрутизатор.

NR7101, NR5101 и NR2101 доступны к заказу через официальных дистрибьюторов Zyxel в России и СНГ.

Примечания

  1. BDU:2025-00886: Уязвимость микропрограммного обеспечения сетевых устройств Zyxel серии CPE
Источник — «https://med.tadviser.ru/index.php/%D0%9F%D1%80%D0%BE%D0%B4%D1%83%D0%BA%D1%82:Zyxel_NR-%D1%81%D0%B5%D1%80%D0%B8%D1%8F_%D0%9C%D0%B0%D1%80%D1%88%D1%80%D1%83%D1%82%D0%B8%D0%B7%D0%B0%D1%82%D0%BE%D1%80%D1%8B»


СМ. ТАКЖЕ (1)

Править
Read in English   |   Короткая ссылка   |  Просмотров: 3373
ИНТЕГРАТОРЫ (44) ПРОЕКТЫ (63) СИСТЕМЫ (186) ВЕНДОРЫ (97)

Подрядчики-лидеры по количеству проектов

За всю историю
2022 год
2023 год
2024 год
Текущий год

  Cisco Systems Russia (Сиско Системс) (5)
  X-Com (Икс ком) (4)
  Cisco Systems (3)
  Huawei Россия (Хуавэй) (3)
  Intact (Интакт) (3)
  Другие (50)

  Первый Бит (1)
  Элтекс (Eltex) (1)
  Aruba Networks (1)
  Другие (0)

Данные не найдены

  N3Com (1)
  Другие (0)

Данные не найдены

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2022 год
2023 год
2024 год
Текущий год

  Cisco Systems (13, 33)
  Huawei (12, 7)
  ZTE Corporation (6, 3)
  DEPO Computers (Депо Электроникс) (2, 3)
  Инфинет (Infinet Wireless) (1, 3)
  Другие (161, 14)

  Aruba Networks (1, 1)
  Элтекс (Eltex) (1, 1)
  Другие (0, 0)

Данные не найдены

  N3Com (1, 1)
  Другие (0, 0)

Данные не найдены

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2022 год
2023 год
2024 год
Текущий год

  Cisco Catalyst Серия коммутаторов - 22
  Cisco Nexus-серия коммутаторов - 5
  Cisco ASR 1000 - 4
  Huawei AirEngine Wi-Fi 6 - 4
  Cisco ISR 4000 - 3
  Другие 33

  Aruba AP-серия Точки доступа Wi-Fi - 1
  Eltex ESR-серия Маршрутизаторы - 1
  Другие 0
Данные не найдены

  N3Com N3-8800 Маршрутизаторы - 1
  Другие 0
Данные не найдены
Главврача больницы в Красноярском крае арестовали по делу о взятке в ₽2,8 млн за поставку медоборудования
Насосы для пенисов стали самой быстрорастущей категорией интим-товаров на Wildberries
Число секс-шопов в России за год сократилось на 7,8%
«Мать и дитя» увеличила годовую выручку на 19,9%
Как государство собирается оживить внедрение промышленных роботов в России. Главные меры поддержки
Лиана Гургенян, «АйТи-Альянс»: ITA PRODCAT поможет Альфа-Банку быстрее выводить на рынок новые услуги
ТУРБО ERP: ключевые ценности для бизнеса в текущем моменте
Центр продвинутой аналитики Альфа-Банка и билайн Big Data & AI представили решение для анализа турпотоков
Максим Иванов, «Сбер Бизнес Софт»: ИИ приносит нашим клиентам десятки, а иногда и сотни миллионов рублей дополнительной выручки
Платформа унифицированных коммуникаций для средних и крупных компаний. Обзор DION
Павел Пак, ЕВРАЗ ЗСМК: Timetta позволяет нам понять, когда мы делаем излишне оптимистичные оценки при планировании ресурсов
«Semantic MDM» — централизованное управление корпоративными мастер-данными в холдингах и корпорациях
Как повысить производительность «1С:ЗУП КОРП»: опыт IBS
Дмитрий Блинов, LogistiX: Роботы окупятся только на том складе, который уже хорошо автоматизирован
Анатомия современной Low-code платформы: что важно для Enterprise и почему
Как создать единую экосистему управления и учета для предприятия питания
Виталий Трепыхалин, «Ростелеком» — о компании как цифровом партнере для государства, бизнеса и граждан
Сколково и TAdviser определили лидеров российского рынка систем управления транспортной логистикой
Внутренняя валюта, «плюшки» для родственников, скупка готовых команд. Как ИТ-компании борются с кадровым голодом
Сертификаты ЭП под контролем: Узнайте, как ЭОС PKI-сервис меняет правила игры!
Александр Швецов, «Инферит ОС»: «МСВСфера Сервер» 9 — полноценная отечественная альтернатива CloudLinux
Цифровизация проектно-ориентированного бизнеса: настоящее и будущее PSA-систем в России
10 лет эксплуатации системы электронного документооборота Кабардино-Балкарской Республики
Крупнейшие аутсорсеры поддержки решений SAP в России. Рейтинг TAdviser
Тимур Порошин, НОТА МОДУС: Наша платформа работает как фабрика приложений для крупных компаний
«Базис» запустил обучающие курсы по администрированию Basis Dynamix Standard и Basis Workplace
Илья Зайчиков, СЭД ТЕЗИС: Одна из основных концепций модуля ИИ в СЭД ТЕЗИС — это цифровые ассистенты
Рынку нужен Zoom на своем сервере — мы его сделали
«Рост ставки осложнил реализацию перспективных проектов». Лидеры российского ИТ-рынка — об итогах 2024 и ожиданиях от 2025 года
Унифицированные коммуникации в России: как развиваются отечественные решения и кто лидирует на этом рынке. Обзор TAdviser
Не только Big Data — 5 самых важных ожиданий Enterprise-компаний от BI в 2025 году
Алексей Павлов, «1С-Рарус»: Наши тиражные продукты для HoReCa могут удовлетворить бОльшую часть клиентских запросов
Цифровизация в промышленных масштабах: как и зачем внедряли ИИ в маркетплейсе металлопроката
Современное отечественное резервное копирование: обзор СРК «Кибер Бэкап»
Дмитрий Ивицкий, Андрей Кельманзон, IBS: Технических проблем с SAP у наших клиентов точно не будет
Российский рынок CRM-систем: оценки, перспективы, крупнейшие поставщики. Обзор TAdviser
ЕЭК переходит на оборудование YADRO
Российский рынок информационной безопасности: оценки и тренды. Обзор TAdviser
Российский рынок цифровизации телекома: ключевые тренды и ИТ-поставщики. Обзор TAdviser
CIO девелопера Tekta Group Антон Солорев — о переходе с ERP Microsoft на «1С» и особенностях цифровизации в строительстве
Конференция «Программно-аппаратные комплексы 2025» состоится 24 апреля