摘要：台湾硬件制造商Zyxel宣布将不发布针对两个关键漏洞的补丁，这些漏洞可能影响成千上万的客户。威胁情报公司GreyNoise指出，这些零日漏洞使攻击者能够在受影响的Zyxel路由器上执行任意命令，可能导致系统被攻陷和数据泄露。这些漏洞由VulnCheck于202

台湾硬件制造商Zyxel宣布将不发布针对两个关键漏洞的补丁，这些漏洞可能影响成千上万的客户。威胁情报公司GreyNoise指出，这些零日漏洞使攻击者能够在受影响的Zyxel路由器上执行任意命令，可能导致系统被攻陷和数据泄露。这些漏洞由VulnCheck于2023年7月识别，并于8月报告给Zyxel，但该公司至今未发布补丁。Zyxel承认其在2025年1月29日才首次得知这两个漏洞，并称这些问题影响已达到生命周期终点的产品，因此不计划修复。Zyxel建议客户更换易受攻击的路由器以确保安全。VulnCheck指出，受影响的设备仍在市场上销售，尽管它们较旧，但由于持续使用，仍然面临安全风险。

总部位于中国台湾的硬件制造商 Zyxel 宣布将不会发布针对两个正在被积极利用的关键漏洞的补丁，这可能影响成千上万的客户。威胁情报初创公司 GreyNoise 在上个月底提醒公众，发现了一个零日漏洞，该漏洞对 Zyxel 路由器构成了重大风险。根据 GreyNoise 的说法，这些漏洞允许攻击者在被攻陷的设备上执行任意命令，导致严重后果，例如系统完全被攻陷、数据外泄或未经授权的网络渗透。

这些漏洞最初是由威胁情报组织 VulnCheck 在 2023 年 7 月识别的，并于同年 8 月报告给 Zyxel，GreyNoise 指出。然而，该制造商尚未就这些关键问题发布任何补丁或正式披露。在最近的一份通告中，Zyxel 承认它最近才意识到这两个漏洞，目前被追踪为 CVE-2024-40890 和 CVE-2024-40891，影响多个已经达到生命周期终点（EOL）的产品。Zyxel 声称，VulnCheck 并未通知其这些缺陷，而它是在 2025 年 1 月 29 日首次得知这些漏洞的消息，仅在 GreyNoise 报告其被积极利用的前一天。

Zyxel 表示，其设备服务于超过 100 万家企业，因这些漏洞影响“多年来已达到生命周期终点的遗留产品”，因此没有计划为这些问题提供补丁。相反，该公司建议客户将其易受攻击的路由器更换为新一代产品，以确保最佳保护。在周二的一篇博客文章中，VulnCheck 指出，受影响的设备并未列在 Zyxel 的 EOL 页面上，并注意到一些型号仍可在亚马逊等平台上购买，TechCrunch 也对此进行了确认。VulnCheck 的首席技术官 Jacob Baines 强调，尽管这些系统较旧，但由于它们在全球范围内的持续使用以及攻击者的持续关注，仍然具有高度相关性。

来源：老孙科技前沿