【安全资讯】Zyxel警告其十余款路由器存在严重远程代码执行漏洞

概要：

网络设备制造商Zyxel近日发布紧急安全更新，以修复一个影响其十余款路由器、光纤终端及无线扩展器的严重远程代码执行漏洞。该漏洞编号为CVE-2025-13942，存在于设备的UPnP功能中，可能允许未经身份验证的攻击者远程执行任意操作系统命令，对全球大量使用Zyxel设备的家庭、企业及服务提供商构成潜在威胁。

主要内容：

该漏洞被追踪为CVE-2025-13942，本质上是一个命令注入漏洞，位于Zyxel旗下4G LTE/5G NR CPE、DSL/以太网CPE、光纤ONT和无线扩展器的UPnP功能中。攻击者可以通过精心构造恶意的UPnP SOAP请求，在未打补丁的设备上远程执行任意命令，从而完全控制设备。

然而，成功利用此漏洞需要满足两个特定条件：设备的UPnP功能和广域网访问功能必须同时启用。Zyxel强调，其设备的WAN访问功能在默认设置下是关闭的，这在一定程度上限制了攻击的普遍性。尽管如此，一旦用户或服务提供商启用了这些功能，设备便暴露在风险之中。

除了此关键漏洞，Zyxel在同一天还修复了两个高严重性的身份验证后命令注入漏洞。这些漏洞表明，攻击者若已获取设备凭证，同样可以执行系统命令。根据Shadowserver的数据，目前互联网上暴露了近12万台Zyxel设备，其中超过7.6万台是路由器。

Zyxel设备因其在全球范围内被许多互联网服务提供商作为默认设备广泛部署，而成为攻击者的常见目标。美国网络安全和基础设施安全局目前正在追踪12个已被或正在被积极利用的Zyxel漏洞。Zyxel建议所有用户立即安装补丁，对于已停止支持的老旧型号，则强烈建议更换为已修复固件的新产品以确保安全。