Une vulnérabilité critique dans plusieurs modèles de routeurs Zyxel et de dispositifs réseau a forcé l'entreprise à publier des mises à jour de sécurité ce mois-ci. L'échec, enregistré comme CVE-2025-13942, permet l'injection de commandes via la fonctionnalité UPnP, qui au pire pourrait donner à un attaquant la capacité d'exécuter des commandes système d'exploitation sur un ordinateur sans authentification.
Selon Zyxel lui-même, le problème est dans le traitement d'applications SOAP UPnP dans une large gamme de produits, y compris CPE 4G LTE / 5G NR, CPE DSL / Ethernet, fibre ONT et des extenseurs sans fil. Un attaquant qui envoie des messages UPnP manipulés pourrait profiter de cette faiblesse pour provoquer l'exécution à distance de commandes sur des appareils vulnérables ; Zyxel explique plus en détail les conditions et versions affectées dans son avis technique, disponible sur son site officiel : Zyxel Conseil de sécurité.
Il est important d'atténuer la portée réelle du risque. Pour que l'opération soit viable à distance, deux conditions sont requises : qu'UPnP soit actif dans l'appareil et qu'il y ait un accès WAN au service UPnP. Zyxel indique que l'accès WAN est désactivé par défaut dans votre équipement, de sorte que dans de nombreux cas l'exposition pratique sera inférieure à ce qui suggère la gravité théorique de la défaillance. Cependant, dans les réseaux où un fournisseur ou un utilisateur lui-même a activé l'accès à distance ou l'UPnP, le danger est réel.
En dehors de cet échec, Zyxel a publié des corrections pour deux autres vulnérabilités à forte gravité qui nécessitent des références valides pour être exploitées : CVE-2025-13943 et CVE-2026-1459. Tous deux permettraient à un attaquant ayant un accès authentifié d'exécuter des commandes sur le système de périphériques, de sorte qu'ils méritent également une attention immédiate de la part des administrateurs et des utilisateurs responsables.
L'échelle de l'écosystème de Zyxel aggrave la situation : des projets pour suivre les appareils exposés à Internet tels que Shadowserver record près de 120 000 Équipes Zyxel dont plus de 76 000 sont des routeurs. Cette présence s'explique en partie par le fait que de nombreux fournisseurs de services fournissent ces équipements comme « plug-and-play » lors de l'embauche d'une connexion, avec des configurations par défaut qui ne minimisent pas toujours le risque.
En outre, la United States Agency for Cyber Security and Infrastructure (CISA) maintient dans son catalogue de nombreuses vulnérabilités Zyxel qui ont été activement exploitées. Dans votre registre public, vous pouvez vérifier les entrées connexes et celles qui sont énumérées comme « bien connues exploitées » : CISA Vulnérabilités exploitées connues.
Un autre point à rappeler est la gestion du cycle de vie des équipes. Zyxel a reconnu que certains anciens modèles ne recevront plus de correctifs pour des vulnérabilités exploitées à l'état zéro (jour zéro) et a recommandé aux utilisateurs de remplacer ces équipements de fin de vie par des solutions plus récentes qui sont mises à jour. Si le fabricant ne fournit pas de correction pour un appareil, la seule véritable défense à long terme est de remplacer le matériel par un support actuel.
D'un point de vue pratique, la première recommandation et la plus urgente sont les suivantes : install firmware updates publié par Zyxel dès que possible. Si vous ne pouvez pas mettre à jour immédiatement, il est approprié de vérifier et, le cas échéant, de désactiver l'UPnP et l'accès à distance depuis le WAN dans la configuration de l'ordinateur. C'est aussi une bonne idée de changer les identifiants par défaut, de segmenter le réseau pour isoler le routeur des appareils critiques et, dans les environnements d'affaires, de surveiller le trafic et les journaux par des signes de comportement inhabituel.
Si votre modem ou routeur vous l'a fourni par votre opérateur et que vous ne savez pas comment accéder au panneau de gestion ou appliquer la mise à jour, contactez le service technique du fournisseur : de nombreux opérateurs gèrent les mises à jour à distance ou peuvent remplacer des équipements obsolètes. Pour les milieux d'affaires, où l'exposition peut impliquer des actifs essentiels, il est utile d'avoir un plan d'intervention et d'examiner les politiques de renouvellement des stocks et du matériel.
Le cas de Zyxel illustre une leçon récurrente sur la sécurité des réseaux domestiques et des petites entreprises : les appareils largement déployés et configurés par défaut deviennent des cibles prioritaires pour les attaquants. Bien que tous les utilisateurs ne soient pas en danger immédiat pour les conditions d'exploitation, la disponibilité publique de ces défaillances et le nombre d'appareils exposés justifient une réaction proactive.
Pour ceux qui veulent consulter les sources primaires et approfondir les détails techniques et les mesures d'atténuation officielles, voici les liens vers les avis et dossiers susmentionnés : L'avis de Zyxel de ces vulnérabilités est sur votre site, chaque QE peut être examiné dans la base de données publique des QE ( CVE-2025-13942, CVE-2025-13943, CVE-2026-1459) et la surveillance de notre surface exposée peut être confirmée par des projets tels que Serveur d'ombre et la liste des vulnérabilités exploitées CISA.
Bref, l'existence de correctifs déjà disponibles est une bonne nouvelle, mais la présence massive de dispositifs Zyxel dans les réseaux du monde entier et la décision de ne pas mettre à jour l'ancien matériel nécessitent des mesures actives : mettre à jour si possible, désactiver les fonctions inutiles telles que l'UPnP et l'accès WAN à distance, et remplacer les équipements EOL pour réduire la fenêtre d'exposition.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...