Vulnerabilidad en firewalls de Zyxel

Fecha de publicación: 28/06/2021

Importancia:
Alta

Recursos afectados:

•  VPN, ZyWALL, USG, ATP y USG FLEX Series en el modo On-Premise:
  • versiones de firmware FCS / date codes / weekly version.

Descripción:

El equipo de Zyxel ha reportado una vulnerabilidad que podría permitir a un atacante, que pueda acceder a un dispositivo a través de la WAN, omitir la autenticación y establece túneles SSL VPN con cuentas de usuario desconocidas, para manipular la configuración del dispositivo.

Solución:

• Reparar el dispositivo (como ayuda, el equipo de soporte de Zyxel ofrece sesiones remotas a través de Teamviewer):
  • eliminar todas las cuentas de administrador y de usuario desconocidas,
  • eliminar Policy Route 1 si las condiciones coinciden,
  • eliminar la regla del cortafuegos, mostrando “loseang” en la descripción,
  • eliminar la configuración de grupo/usuario “SSL VPN”.
• Informar al Soporte de Zyxel sobre los dispositivos afectados.
• Proteger el dispositivo con los siguientes cambios:
  • revisar la configuración del Firewall (obligatorio),
  • cambiar los puertos (opcional),
  • cambiar la contraseña (obligatorio),
  • configurar el inicio de sesión de 2 factores (opcional).

Detalle:

Existe una amenaza dirigida a los dispositivos de seguridad de Zyxel, con gestión remota o SSL VPN habilitados, en las series USG/ZyWALL, USG FLEX, ATP y VPN. El atacante intenta acceder a un dispositivo a través de la WAN y, si tiene éxito, omite la autenticación y establece túneles SSL VPN con cuentas de usuario desconocidas, como “zyxel_sllvpn”, “zyxel_ts” o “zyxel_vpn_test”, para manipular la configuración del dispositivo.

Etiquetas:
Comunicaciones, SSL/TLS, Vulnerabilidad