Krytyczna luka RCE w routerach Zyxel: CVE-2025-13942 w UPnP pozwala na zdalne wykonanie poleceń

Wprowadzenie do problemu / definicja luki

Zyxel opublikował poprawki dla krytycznej podatności umożliwiającej zdalne wykonanie poleceń systemowych (RCE) na wielu modelach urządzeń dostępowych (CPE), ONT i wzmacniaczy Wi-Fi. Problem dotyczy mechanizmu UPnP i jest śledzony jako CVE-2025-13942. W praktyce atakujący może doprowadzić do wykonania komend w systemie operacyjnym urządzenia poprzez odpowiednio spreparowane żądania UPnP SOAP.

W skrócie

• CVE: CVE-2025-13942 (command injection w UPnP)
• Skutki: potencjalne pełne przejęcie urządzenia (wykonanie komend OS), a więc i segmentu sieci za nim
• Warunki ataku: zdalna eksploatacja jest realna przede wszystkim wtedy, gdy włączono UPnP oraz dostęp WAN/zarządzanie od strony Internetu (WAN access domyślnie jest wyłączony)
• Skala: Shadowserver raportuje dziesiątki tysięcy wystawionych do Internetu routerów Zyxel (w materiale BleepingComputer: ~120 tys. urządzeń Zyxel, w tym >76 tys. routerów)
• Dodatkowo: Zyxel załatał też inne podatności, m.in. CVE-2025-13943 i CVE-2026-1459 (post-auth command injection/RCE po przejęciu poświadczeń)

Kontekst / historia / powiązania

Urządzenia brzegowe (CPE/routery dostarczane często przez ISP) są regularnym celem ataków, bo stanowią „najbliższą” warstwę do przejęcia ruchu, pivotu do LAN i budowy botnetów. BleepingComputer podkreśla, iż sprzęt Zyxel bywa chętnie wybierany przez atakujących również dlatego, iż jest masowo wdrażany jako sprzęt „z umowy” u operatorów.

W tle warto pamiętać o typowym wzorcu incydentów: wystawione usługi administracyjne, domyślne lub słabe hasła, brak aktualizacji i włączone funkcje typu UPnP – to najczęstsze warunki, które zamieniają „podatność na papierze” w realne przejęcie urządzenia.

Analiza techniczna / szczegóły luki

CVE-2025-13942: command injection w UPnP (SOAP)

Zyxel opisuje CVE-2025-13942 jako command injection w funkcji UPnP, który pozwala zdalnemu atakującemu wykonać polecenia systemu operacyjnego po wysłaniu specjalnie przygotowanych żądań UPnP SOAP.

Z perspektywy klasyfikacji podatności NVD przypisuje temu problemowi CWE-78 (OS Command Injection) oraz wektor CVSS v3.1: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, co odpowiada krytycznemu poziomowi ryzyka (9.8).

Warunki skutecznego ataku (praktyczna „hamownia” CVSS)

BleepingComputer i Zyxel zwracają uwagę na istotny niuans operacyjny: WAN access jest wyłączony domyślnie, a zdalny atak jest możliwy, gdy jednocześnie włączono WAN access oraz podatną funkcję UPnP. To ogranicza „masową” eksploatację w scenariuszu domyślnych konfiguracji, ale nie chroni środowisk, w których UPnP i zdalne zarządzanie zostały świadomie (lub przez ISP) aktywowane.

Jakich urządzeń dotyczy?

Zyxel publikuje listę wielu modeli w kilku liniach produktowych (m.in. 4G/5G CPE, DSL/Ethernet CPE, Fiber ONT, Wireless Extenders). W samej tabeli dla CVE-2025-13942 znajdziemy m.in.: LTE3301-PLUS, NR7101, Nebula LTE3301-PLUS, Nebula NR7101, DX4510-B0/B1, EE6510-10, EMG6726-B10A, EX2210-T0, EX3510-B0/B1, EX5510-B0, EX5512-T0, EX7710-B0, VMG4927-B50A, PX3321-T1, PX5301-T0, WX5610-B0 wraz z wersjami podatnymi i wersjami z łatką.

Praktyczne konsekwencje / ryzyko

Jeśli CVE-2025-13942 zostanie skutecznie wykorzystane, atakujący może:

• przejąć kontrolę nad urządzeniem brzegowym (wykonanie poleceń OS),
• zmienić konfigurację routingu/DNS, podsłuchiwać lub przekierowywać ruch,
• wykorzystać urządzenie jako punkt wejścia do sieci LAN (pivot),
• dołączyć sprzęt do botnetu lub użyć jako infrastruktury pośredniej (proxy).

Ryzyko rośnie szczególnie w scenariuszach:

• urządzenie ma włączone UPnP (czasem „bo działa wygodniej”),
• włączono zdalny dostęp od WAN do panelu/endpointów,
• urządzenie jest wystawione do Internetu (bez filtracji na brzegu).

Rekomendacje operacyjne / co zrobić teraz

1. Zidentyfikuj modele i wersje firmware w inwentarzu (szczególnie CPE od ISP oraz urządzenia Nebula). Następnie porównaj z tabelą Zyxel dla CVE-2025-13942 i wgraj wskazane wersje poprawek.
2. Wyłącz UPnP, jeżeli nie jest bezwzględnie potrzebne (w firmie praktycznie zawsze da się je zastąpić kontrolowanymi regułami NAT/firewall).
3. Upewnij się, iż WAN access/zdalne zarządzanie od strony Internetu jest wyłączone. jeżeli musi być włączone: ogranicz dostęp (VPN, allowlist IP, MFA gdzie dostępne).
4. Wymuś higienę poświadczeń: unikalne silne hasła, rotacja adminów, brak współdzielonych kont. To ważne także dlatego, iż Zyxel równolegle opisał luki post-auth (np. CVE-2025-13943, CVE-2026-1459), które „odpalają się” po przejęciu konta.
5. Zablokuj ekspozycję usług zarządzania na brzegu (ACL na firewallu, filtracja na urządzeniu nadrzędnym, segmentacja).
6. Monitoruj anomalia: nietypowe połączenia wychodzące z CPE, zmiany DNS, nagłe restarty, zmiany reguł NAT/port forwarding.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• CVE-2025-13942 (pre-auth, krytyczne): teoretycznie najgroźniejsze, bo nie wymaga logowania, ale w praktyce często zależy od włączonego UPnP i WAN access.
• CVE-2025-13943 i CVE-2026-1459 (post-auth): wymagają uwierzytelnienia (czyli np. wcześniejszego wycieku hasła, phishingu, reuse haseł), ale w środowiskach z realnymi kompromitacjami poświadczeń bywają równie istotne operacyjnie.

Wniosek: choćby jeżeli „zdalny” wektor dla CVE-2025-13942 jest u Ciebie ograniczony, przez cały czas warto traktować aktualizacje jako pakiet – bo zestaw podatności obejmuje też scenariusze po przejęciu kont.

Podsumowanie / najważniejsze wnioski

CVE-2025-13942 to krytyczna podatność typu OS command injection w UPnP, która może prowadzić do RCE na wielu urządzeniach Zyxel. Najważniejsze działania to aktualizacja firmware, wyłączenie UPnP i zablokowanie zdalnego dostępu od WAN do interfejsów zarządzania. jeżeli organizacja używa CPE od operatorów, warto dodatkowo zweryfikować konfiguracje „narzucone” przez ISP i realną ekspozycję urządzeń w Internecie.

Źródła / bibliografia

• Zyxel Security Advisory (24.02.2026): lista modeli, opis CVE-2025-13942/13943/2026-1459 i warunki ataku (zyxel.com)
• BleepingComputer (25.02.2026): kontekst, warunki (UPnP + WAN access), skala ekspozycji i dodatkowe CVE (BleepingComputer)
• NVD (NIST): CVE-2025-13942, CWE-78, wektor CVSS v3.1 (krytyczne 9.8) (nvd.nist.gov)