Giriş
Taiwan merkezli Zyxel, on iki farklı yönlendirici modeli üzerinde etkili olan ciddi bir güvenlik açığını gidermek için güncellemeler yayınladı. Bu açık, doğrulanmamış saldırganların yamanmamış cihazlarda uzaktan komut yürütmesine olanak tanımaktadır.
Saldırı Nasıl Çalışıyor?
Bu güvenlik açığı, CVE-2025-13942 olarak takip edilmektedir ve Zyxel’in 4G LTE/5G NR CPE, DSL/Ethernet CPE, Fiber ONT’leri ve kablosuz genişletici cihazlarının UPnP (Universal Plug and Play) fonksiyonunda bulunmuştur. Zyxel , saldırganların kötü niyetli olarak hazırlanmış UPnP SOAP talepleri kullanarak etkilenen bir cihazda işletim sistemi (OS) komutları çalıştırabileceğini belirtmektedir.
Ancak, CVE-2025-13942 saldırılarının etkisi, başarıyla uygulama için UPnP ve WAN erişiminin etkin olması gerektiğinden muhtemelen sınırlı kalacaktır. WAN erişimi, varsayılan olarak devre dışı bırakılmış durumdadır. Zyxel, kullanıcıların “maksimum koruma sağlamak için yamaları yüklemeleri” gerektiğini vurgulamaktadır.
Etkilenen Sistemler
Aşağıdaki Zyxel cihazları etkilemektedir:
- 4G LTE/5G NR CPE
- DSL/Ethernet CPE
- Fiber ONT’ler
- Kablosuz genişleticiler
Zyxel, ayrıca iki yüksek aciliyetli yetkilendirme sonrası komut yürütme zafiyetini de (CVE-2025-13943 ve CVE-2026-1459) yamalamıştır. Bu zafiyetler, kötü niyetli aktörlerin ele geçirilmiş kimlik bilgileri kullanarak OS komutları yürütmesine imkan tanımaktadır.
Çözüm ve Korunma
Zyxel cihazlarının internetle bağlantılı durumda olduğundan Shadowserver şu anda yaklaşık 120.000 internetten erişilebilir Zyxel cihazını izlemektedir. Bu sayı arasında 76.000’den fazla yönlendirici bulunmaktadır. Zyxel cihazları, dünya çapında birçok internet servis sağlayıcısı tarafından yeni internet hizmet sözleşmeleri aktivasyonunda varsayılan ekipman olarak sağlandığı için saldırılara sıkça maruz kalmaktadır.
CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı), Zyxel’in yönlendiricileri, güvenlik duvarları ve NAS cihazları ile ilgili olarak 12 zafiyeti izlemektedir.
Zyxel, bu ay içinde bazı eski cihazlar üzerinde aktif olarak istismar edilen CVE-2024-40891 gibi sıfır gün güvenlik açıklarını yama yapmayı planlamadığını belirtmiştir. Bunun yerine, müşterilerini daha yeni ürünlerle eski cihazları değiştirmeye şiddetle önermektedir.
Etkinliği sona ermiş cihazlar:
- VMG1312-B10A
- VMG1312-B10B
- VMG1312-B10E
- VMG3312-B10A
- VMG3313-B10A
- VMG3926-B10B
- VMG4325-B10A
- VMG4380-B10A
- VMG8324-B10A
- VMG8924-B10A
- SBG3300
- SBG3500
Bu cihazlar uzun süredir üretim sürecinin sona erdiğini, bu nedenle kullanıcıların daha yenilikçi ve güncellenmiş ürünlere geçmelerini şiddetle önerdiğini belirtmiştir.
Sonuç
Okuyucuların, bu kritik güvenlik açığını göz önünde bulundurarak, etkilenmiş Zyxel cihazlarını güncellemeleri veya mümkünse daha yeni cihazlarla değiştirmeleri gerekmektedir. Aktif olarak internet bağlantısı olan cihazlar için WAN erişimini devre dışı bırakmaları da önemli bir önlem olacaktır. Bu şekilde siber saldırılara karşı daha az risk altında kalınabilir.
