В прошивке межсетевых экранов Zyxel на базе ZLD (ZyNOS Linux Distribution) нашли уязвимость CVE-2025-11730, которая позволяет выполнять команды операционной системы через настройку динамического DNS. Под удар попали популярные модели ATP, USG FLEX, USG FLEX 50(W) и USG20(W)-VPN с версиями прошивки с V5.35 по V5.41, оценка 7.2 по шкале CVSS. Zyxel уже признала проблему и выложила обновления прошивки.
Суть уязвимости в том, что в CLI-команде для конфигурации динамического DNS (DDNS), часть переданного администратором аргумента может отделить от параметра и превратиться в самостоятельную команду ОС. Консоль фаервола честно принимает строку, передает ее дальше, а система выполняет все, что оказалось после уязвимого участка. В результате тот, у кого есть доступ к CLI, получает возможность запускать произвольные команды с правами системного процесса на устройстве.
Формально эксплуатировать уязвимость может только аутентифицированный администратор, но в реальной жизни картина сложнее. У многих компаний доступ к периферийным Zyxel есть не только у основного админа, но и у подрядчиков, региональных инженеров, а иногда - у давно забытых сервисных аккаунтов. В случае компрометации такой учётной записи (например, через фишинг или утечку данных) межсетевой экран на границе сети превращается в точку входа для атакующих. История с предыдущими RCE в устройствах Zyxel уже показывала, как быстро такие векторы становятся частью типовых схем взлома.
Опасность CVE-2025-11730 в том, что речь идет именно о оборудовании на периметре: оно смотрит в интернет и внутрь сети одновременно. Захваченное устройство можно использовать как прокси для скрытого трафика к управляющим серверам, для сканирования внутреннего диапазона, атак на VPN, доменные контроллеры и внутренние веб‑сервисы. При этом сам фаервол может продолжать исправно маршрутизировать легитимный трафик, не выдавая проблем без отдельного анализа логов и конфигурации.
Чтобы закрыть уязвимость, Zyxel предлагает ставить новые версии ZLD для всех затронутых моделей, патчи уже доступны в разделе security advisories. Параллельно имеет смысл пройтись по списку администраторских учетных записей, проверить, кому открыт доступ к CLI, и ограничить вход снаружи до VPN или доверенных адресов. Логично также обратить внимание на любые неожиданные изменения DDNS-конфигурации и команды, которые запускаются на устройстве: для уязвимости с таким вектором это хороший индикатор возможной эксплуатации.
