Hàng loạt router Zyxel dính lỗ hổng, nguy cơ bị chiếm quyền điều khiển từ xa

[WhiteHat Team]

Hãng thiết bị mạng Zyxel vừa phát hành bản vá khẩn cấp cho nhiều lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến các dòng thiết bị 4G LTE/5G NR CPE, DSL/Ethernet CPE, Fiber ONT, router bảo mật và bộ mở rộng sóng Wi-Fi. Các lỗ hổng này có thể khiến thiết bị bị sập (DoS) hoặc nguy hiểm hơn là cho phép tin tặc chèn lệnh từ xa để chiếm quyền điều khiển hệ thống.
​

​

Đáng lo ngại nhất là lỗ hổng mang mã CVE-2025-13942, được chấm điểm 9,8/10 theo thang đo CVSS

Lỗi này tồn tại trong dịch vụ UPnP (Universal Plug and Play - một tính năng giúp các thiết bị trong mạng tự động kết nối và cấu hình với nhau). Theo mô tả kỹ thuật, do lỗi kiểm tra dữ liệu đầu vào không đầy đủ trong quá trình xử lý giao thức SOAP của UPnP, kẻ tấn công có thể gửi yêu cầu độc hại qua Internet (WAN) để chèn và thực thi lệnh hệ điều hành trên router mà không cần đăng nhập.

Điều kiện để khai thác là tính năng quản lý từ xa qua WAN và UPnP phải được bật thủ công. Tuy không bật mặc định, nhưng cấu hình sai khá phổ biến trong mạng gia đình hoặc văn phòng nhỏ.

Nếu bị khai thác thành công, tin tặc có thể:​

• Chiếm toàn bộ quyền kiểm soát router​
• Đánh cắp dữ liệu​
• Theo dõi lưu lượng mạng​
• Tấn công lan sang các thiết bị khác trong mạng nội bộ​

Nhiều lỗ hổng khác cũng ở mức cao​

Ngoài CVE-2025-13942, Zyxel còn vá thêm:​

• CVE-2025-13943: Lỗ hổng chèn lệnh yêu cầu tài khoản người dùng hợp lệ​
• CVE-2026-1459: Lỗ hổng chèn lệnh yêu cầu quyền quản trị viên (bản vá sẽ phát hành vào tháng 3/2026)​
• Bốn lỗ hổng mức trung bình (CVE-2025-11845 đến 11848) gây lỗi “null pointer dereference”, có thể khiến thiết bị bị treo hoặc khởi động lại khi quản trị viên gửi yêu cầu đặc biệt​

Các lỗ hổng mức trung bình có điểm CVSS 4.9 do mặc định không cho phép truy cập từ Internet. Tuy nhiên, nếu tài khoản quản trị bị lộ, nguy cơ sẽ tăng lên đáng kể.​

Người dùng cần làm gì ngay lúc này?​

Zyxel đã phát hành firmware vá lỗi cho hầu hết các thiết bị bị ảnh hưởng (ví dụ như dòng NR5103 hay VMG Series). Chuyên gia khuyến nghị người dùng:​

• Cập nhật firmware ngay khi có thể​
• Tắt quản lý từ xa qua WAN nếu không cần thiết​
• Vô hiệu hóa UPnP nếu không sử dụng​
• Đặt mật khẩu quản trị mạnh, không dùng lại mật khẩu cũ​
• Theo dõi nhật ký hoạt động bất thường​

Khi router bị chiếm quyền: Nguy cơ không chỉ dừng ở thiết bị mạng​

Router là “cửa ngõ” của toàn bộ hệ thống mạng gia đình hoặc doanh nghiệp. Nếu thiết bị này bị kiểm soát, kẻ xấu có thể:​

• Chặn và chỉnh sửa nội dung truy cập web​
• Chuyển hướng người dùng đến trang giả mạo​
• Cài phần mềm độc hại vào máy tính, điện thoại​
• Thu thập thông tin đăng nhập ngân hàng, mạng xã hội​

Trong bối cảnh công nghệ ngày càng phát triển, đặc biệt là trí tuệ nhân tạo (AI), nguy cơ còn phức tạp hơn.

Hiện nay, các công cụ AI có thể tạo hình ảnh, video và nội dung giả mạo với độ chân thực rất cao. Người dùng gần như không thể phân biệt bằng mắt thường đâu là ảnh thật, đâu là ảnh do AI tạo nếu không có công cụ chuyên dụng.

Điều này cho thấy sự tiến bộ vượt bậc của công nghệ nhưng cũng là mảnh đất màu mỡ cho tội phạm mạng:​

• Tạo trang web ngân hàng giả với hình ảnh “chuyên nghiệp”​
• Giả mạo thông báo từ nhà mạng hoặc cơ quan chức năng​
• Dàn dựng bằng chứng giả để lừa đảo​

Khi router bị chiếm quyền, tin tặc có thể kết hợp lỗ hổng kỹ thuật với nội dung giả mạo do AI tạo ra để thực hiện các cuộc tấn công tinh vi hơn nhiều.​

Công nghệ càng mạnh, trách nhiệm bảo mật càng lớn​

Sự cố lần này là lời nhắc nhở chúng ta:​

• Không có thiết bị nào “miễn nhiễm” với lỗ hổng​
• Cấu hình sai có thể nguy hiểm không kém phần mềm lỗi​
• AI đang nâng cao khả năng tấn công mạng song song với lợi ích mà nó mang lại​

Công nghệ đang tiến rất nhanh, nếu thiếu cảnh giác thì chính những bước tiến ấy có thể bị kẻ xấu lợi dụng để gây hại cho người dùng.​

WhiteHat​