Fecha de publicación: 28/06/2021
Importancia:
Alta
Recursos afectados:
- VPN, ZyWALL, USG, ATP y USG FLEX Series en el modo On-Premise:
- versiones de firmware FCS / date codes / weekly version.
Descripción:
El equipo de Zyxel ha reportado una vulnerabilidad que podría permitir a un atacante, que pueda acceder a un dispositivo a través de la WAN, omitir la autenticación y establece túneles SSL VPN con cuentas de usuario desconocidas, para manipular la configuración del dispositivo.
Solución:
- Reparar el dispositivo (como ayuda, el equipo de soporte de Zyxel ofrece sesiones remotas a través de Teamviewer):
- eliminar todas las cuentas de administrador y de usuario desconocidas,
- eliminar Policy Route 1 si las condiciones coinciden,
- eliminar la regla del cortafuegos, mostrando «loseang» en la descripción,
- eliminar la configuración de grupo/usuario «SSL VPN».
- Informar al Soporte de Zyxel sobre los dispositivos afectados.
- Proteger el dispositivo con los siguientes cambios:
- revisar la configuración del Firewall (obligatorio),
- cambiar los puertos (opcional),
- cambiar la contraseña (obligatorio),
- configurar el inicio de sesión de 2 factores (opcional).
Detalle:
Existe una amenaza dirigida a los dispositivos de seguridad de Zyxel, con gestión remota o SSL VPN habilitados, en las series USG/ZyWALL, USG FLEX, ATP y VPN. El atacante intenta acceder a un dispositivo a través de la WAN y, si tiene éxito, omite la autenticación y establece túneles SSL VPN con cuentas de usuario desconocidas, como «zyxel_sllvpn», «zyxel_ts» o «zyxel_vpn_test», para manipular la configuración del dispositivo.
Etiquetas:
Comunicaciones, SSL/TLS, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.