前言

Zyxel 旗下部分旧款 DSL 客户终端设备(CPE)存在严重的安全漏洞，包括 默认凭证不安全问题 和 命令注入漏洞 ，攻击者可通过默认凭证登录 Telnet 并利用此漏洞在受影响的设备上执行任意命令。

影响型号：
VMG1312-B10A、VMG1312-B10B、VMG1312-B10E、VMG3312-B10A、VMG3313-B10A、VMG3926-B10B、VMG4325-B10A、VMG4380-B10A、VMG8324-B10A、VMG8924-B10A、SBG3300、SBG3500

0x1 CVE-2025-0890

描述：Zyxel VMG3312-B10A 固件版本 100AAEF4D3 中 Telnet 功能的不安全默认凭据可能允许攻击者登录管理界面。

默认凭证保存在 /etc/default.cfg 文件中，它是一个 XML 格式的 DSL CPE（Customer Premises Equipment）配置文件，包含了多种网络设置。

查看并分析这个文件

分析default.cfg得到：

1. 管理员账户：

   • 用户名：supervisor
   • 密码：enlhZDEyMzQ=
     • 这个密码是经过 Base64 编码的，解码后为：zyad1234。

2. 登录组（管理员组）：

   • 用户名：admin
   • 密码：MTIzNAA=
     • 解码后的密码为：1234

3. 登录组（用户组）：

   • 用户名：zyuser
   • 密码：MTIzNAA=
     • 解码后的密码为：1234
       并且均拥有 remoteMGMT 远程管理功能，可以通过 Telnet 登录设备。

0x2 CVE-2024-40891

描述：Zyxel VMG3312-B10A 固件版本 100AAEF4D3 中的管理命令中存在身份验证后命令注入漏洞，可能允许经过身份验证的攻击者通过 Telnet 在受影响的设备上执行作系统 （OS） 命令。

我们进入telnet入口后分析如何触发命令注入漏洞。

cmsDal_getNetworkAccessMode用于检查客户端的网络访问权限，其函数定义在lib/private/libcms_dal.so，main通过cmsDal_getNetworkAccessMode后，由sub_4016c4判断是否创建Telnet会话。
!