Tayvanlı ağ üreticisi Zyxel, yönlendiriciler, fiber terminaller ve kablosuz genişleticiler dahil olmak üzere çok çeşitli ağ cihazlarını etkileyen ciddi bir güvenlik açığını ortaya çıkardıktan sonra kritik bir güvenlik uyarısı yayınladı. Saldırganların savunmasız sistemlerde uzaktan komutlar yürütmesine olanak tanıyan bu güvenlik açığı, yaygın olarak kullanılan tüketici ve kurumsal ağ ekipmanlarının güvenliği konusunda yeni endişeler doğurdu.
Uyarıların merkezinde, CVE-2025-13942 olarak izlenen bir güvenlik açığı yer alıyor. Bu güvenlik açığı, birçok Zyxel cihazının Evrensel Tak ve Çalıştır (UPnP) özelliğinde bulunan bir komut enjeksiyon kusuru. Şirkete göre, bu sorun 4G/5G yönlendiriciler, DSL ve Ethernet müşteri tesis ekipmanları (CPE), fiber ONT'ler ve Wi-Fi genişleticiler gibi ürün gruplarındaki bir düzineden fazla modeli etkiliyor.
Güvenlik araştırmacıları, bu kusurun kimliği doğrulanmamış saldırganların bir cihaza özel olarak hazırlanmış UPnP SOAP istekleri göndermesine ve işletim sistemi düzeyinde uzaktan komut yürütme (RCE) olanağı sağlamasına yol açabileceği konusunda uyarıyor. Pratik olarak bu, saldırganların etkilenen cihazların kontrolünü ele geçirmesine, ağ trafiğini manipüle etmesine veya bağlı ortamlara daha fazla kötü amaçlı yazılım yerleştirmesine olanak tanıyabilir.
Sömürü koşulları yaygın saldırıları sınırlayabilir
Kritik önem derecesine rağmen, Zyxel bu kusurun sömürülmesinin belirli yapılandırmalara bağlı olduğunu vurguladı. Saldırının başarılı olması için, cihazda hem WAN (Geniş Alan Ağı) erişimi hem de savunmasız UPnP işlevselliği etkinleştirilmiş olmalıdır.
Önemli olarak, WAN erişimi Zyxel yönlendiricilerinde varsayılan olarak devre dışıdır, bu da uzaktan istismara maruz kalan cihazların sayısını önemli ölçüde azaltabilir.
Bununla birlikte, şirket kullanıcılara yalnızca varsayılan ayarlara güvenmemelerini tavsiye etti. Zyxel, “Kullanıcıların optimum korumayı sağlamak için yamaları yüklemeleri şiddetle tavsiye edilir” dedi ve yapılandırma değişiklikleri veya yanlış yönetim nedeniyle cihazların hala maruz kalabileceğini belirtti.
Ek güvenlik açıkları düzeltildi
Zyxel, kritik güvenlik açığının yanı sıra, kimliği doğrulanmış kullanıcıları etkileyen iki yüksek önem dereceli güvenlik açığını da (CVE-2025-13943 ve CVE-2026-1459) giderdi. Bu sorunlar, kimlik bilgileri ele geçirilmiş saldırganların sistem düzeyinde komutlar yürütmesine olanak tanıyabilir, bu da güçlü parola hijyeni ve erişim kontrollerinin önemini daha da vurgulamaktadır.
- CVE-2025-13943: Zyxel EX3301-T0 ürün yazılımı sürümleri 5.50(ABVY.7)C0'a kadar olan sürümlerin günlük dosyası indirme işlevinde bulunan kimlik doğrulama sonrası komut enjeksiyonu güvenlik açığı, kimliği doğrulanmış bir saldırganın etkilenen cihazda işletim sistemi (OS) komutları çalıştırmasına olanak tanıyabilir.
- CVE-2026-1459: Zyxel VMG3625-T50B ürün yazılımı sürümleri 5.50(ABPM.9.7)C0'a kadar TR-369 sertifika indirme CGI programında kimlik doğrulama sonrası komut enjeksiyonu güvenlik açığı, kimliği doğrulanmış bir saldırganın yönetici ayrıcalıklarıyla etkilenen bir cihazda işletim sistemi (OS) komutları çalıştırmasına olanak sağlayabilir.
On binlerce cihaz çevrimiçi olarak açığa çıktı
Siber güvenlik izleme kuruluşu Shadowserver Foundation'ın verilerine göre, 76.000'den fazla yönlendirici dahil olmak üzere yaklaşık 120.000 Zyxel cihazı şu anda internete açık durumda. Açığa çıkan tüm cihazların mutlaka savunmasız olduğu söylenemez, ancak bu ölçek, tehdit aktörlerinin potansiyel saldırı yüzeyini vurgulamaktadır.
Zyxel donanımı, internet servis sağlayıcıları tarafından konut ve küçük işletmelerin geniş bant kurulumlarında varsayılan ekipman olarak sıklıkla dağıtıldığı için saldırganlar için özellikle caziptir. Bu yaygın kullanım, güvenlik açıklarının büyük ölçekte istismar edilmesi durumunda küresel bir etkiye sahip olabileceği anlamına gelir.
Kullanıcılar üzerinde cihazlarını güncelleme veya değiştirme baskısı artıyor!
Bu durum, ağ endüstrisinde süregelen bir sorunu ortaya koyuyor: uzun cihaz ömürleri ve tutarsız yama uygulamaları.
Zyxel, en son güvenlik açıkları için düzeltmeler yayınlamış olsa da, kullanıcılardan şunları yapmaları isteniyor:
- Firmware güncellemelerini hemen uygulayın.
- Mümkün olduğunda UPnP gibi gereksiz hizmetleri devre dışı bırakın.
- Uzaktan erişim ayarlarının güvenli olduğundan emin olun.
- Ömrünü tamamlamış donanımı değiştirin.
Siber saldırılar giderek daha fazla yönlendiriciler gibi uç cihazları hedef aldığından, yamalanmamış güvenlik açıkları hem ev hem de kurumsal ağlara giriş noktası olarak kullanılabilir.
On binlerce internet bağlantılı cihaz ve aktif istismar geçmişi ile Zyxel'in son uyarısı, ağ altyapısının günümüzün tehdit ortamında hala yüksek değerli bir hedef olduğunu açıkça hatırlatmaktadır.