Netcrook Logo
👤 SECPULSE
🗓️ 25 Feb 2026  

Milioni a rischio: una falla nei router Zyxel apre la porta a intrusioni informatiche globali

Una vulnerabilità scoperta di recente espone i router Zyxel in tutto il mondo, mettendo aziende e utenti domestici nel mirino dei criminali informatici.

Per la maggior parte degli utenti internet è una mattina tranquilla, ma dietro le quinte sta prendendo forma una minaccia digitale silenziosa. Zyxel, il colosso del networking i cui router alimentano le connessioni in case e aziende in 150 Paesi, si sta affrettando a correggere una falla di sicurezza critica - una falla che potrebbe consentire agli hacker di prendere il controllo da qualsiasi parte del mondo. Il difetto, tracciato come CVE-2025-13942, è più di un semplice bug: è un potenziale varco per l’esecuzione remota di comandi e, con quasi 120.000 dispositivi esposti online, la posta in gioco non potrebbe essere più alta.

Dati rapidi

  • Falla critica: CVE-2025-13942 consente l’esecuzione remota di comandi su oltre una dozzina di modelli di router Zyxel.
  • Vettore d’attacco: lo sfruttamento richiede che siano abilitati sia UPnP sia l’accesso WAN - la WAN è disattivata per impostazione predefinita.
  • Scala: quasi 120.000 dispositivi Zyxel sono esposti a internet, con oltre 76.000 router a rischio.
  • Rischio legacy: Zyxel non rilascerà patch per alcuni modelli più vecchi, ancora in vendita, invitando invece gli utenti ad aggiornare.
  • Portata globale: le apparecchiature di rete Zyxel sono utilizzate da oltre un milione di aziende in tutto il mondo.

Dentro l’exploit: come gli hacker potrebbero prendere il controllo

La vulnerabilità appena rivelata risiede nella funzione UPnP (Universal Plug and Play) dei router Zyxel - un protocollo progettato per la comodità, ma tristemente noto per le sue insidie di sicurezza. Inviando una richiesta SOAP appositamente costruita, un attaccante con accesso a una rete in cui UPnP e WAN sono abilitati può iniettare comandi direttamente nel sistema operativo del router. Il punto critico? L’accesso WAN (Wide Area Network) è disattivato per impostazione predefinita, limitando il rischio a meno che gli utenti non abbiano abilitato deliberatamente l’accesso esterno. Ma per decine di migliaia di router esposti online, il rischio è reale e immediato.

Ad aumentare la preoccupazione, due ulteriori falle ad alta gravità (CVE-2025-13943 e CVE-2026-1459) consentono agli attaccanti di eseguire comandi se hanno già compromesso le credenziali di un utente. La U.S. Cybersecurity and Infrastructure Security Agency (CISA) sta monitorando una dozzina di vulnerabilità Zyxel, alcune delle quali già sfruttate attivamente. E mentre Zyxel ha rilasciato patch urgenti per le ultime falle, si rifiuta di correggere diversi modelli più vecchi - ancora disponibili in vendita - dichiarandoli “end-of-life”. Gli utenti di questi dispositivi legacy si trovano davanti a una scelta netta: aggiornare o restare vulnerabili.

I router Zyxel, spesso forniti dagli operatori internet come apparecchiatura predefinita, sono da tempo un bersaglio preferito degli attaccanti. La loro diffusione capillare significa che una singola vulnerabilità può rapidamente trasformarsi in un incidente globale. Shadowserver, un organismo di vigilanza sulla sicurezza di internet, monitora attualmente quasi 120.000 dispositivi Zyxel esposti su internet, una superficie d’attacco allettante per i criminali informatici.

Lezioni dalla prima linea

Questa crisi è un promemoria severo: la sicurezza della nostra infrastruttura digitale dipende da aggiornamenti tempestivi e dal supporto responsabile dei fornitori. Per gli utenti, il messaggio è chiaro: applicate subito le patch e, se il vostro dispositivo non è più supportato, sostituitelo. Per il sottobosco cyber, la caccia è aperta - ma per chi agisce in fretta, questa è una violazione che può essere fermata alla porta d’ingresso.

WIKICROOK

  • RCE (Remote Command Execution): RCE è una vulnerabilità che consente agli attaccanti di eseguire comandi da remoto su un sistema, con il rischio di furto di dati, malware o compromissione completa del sistema.
  • UPnP (Universal Plug and Play): UPnP consente ai dispositivi di individuarsi e connettersi automaticamente sulle reti, ma una configurazione impropria può creare rischi di sicurezza e permettere l’accesso agli hacker.
  • WAN (Wide Area Network): Una WAN collega reti locali su grandi distanze, consentendo alle organizzazioni di condividere in modo sicuro dati e risorse tra più sedi.
  • Command Injection: La Command Injection è una vulnerabilità in cui gli attaccanti inducono i sistemi a eseguire comandi non autorizzati inserendo input malevoli in campi utente o interfacce.
  • End: La crittografia end-to-end è un metodo di sicurezza in cui solo mittente e destinatario possono leggere i messaggi, mantenendo i dati privati rispetto a fornitori di servizi e hacker.
Zyxel routers Cybersecurity Vulnerability
SECPULSE SECPULSE
SOC Detection Lead
← Back to news