logo zixel

La empresa Zyxel publica un parche para una vulnerabilidad en el sistema operativo de sus cortafuegos.

Los sistemas afectados son:

  • USG FLEX 100(W), 200, 500 y 700 con versiones de firmware ZLD V5.00 hasta ZLD V5.21 Patch 1.
  • USG FLEX 50(W) y USG20(W)-VPN con versiones de firmware ZLD V5.10 hasta ZLD V5.21 Patch 1.
  • ATP series con versiones de firmware ZLD V5.10 hasta ZLD V5.21 Patch 1.
  • VPN series con versiones de firmware ZLD V4.60 hasta ZLD V5.21 Patch 1.

El problema

Zyxel ha publicado el parche que soluciona una vulnerabilidad de inyección de comandos en el sistema operativo de los firewalls siguientes:

  • USG FLEX 100(W), 200, 500 y 700 con versiones de firmware ZLD V5.00 hasta ZLD V5.21 Patch 1.
  • USG FLEX 50(W) y USG20(W)-VPN con versiones de firmware ZLD V5.10 hasta ZLD V5.21 Patch 1.
  • ATP series con versiones de firmware ZLD V5.10 hasta ZLD V5.21 Patch 1.
  • VPN series con versiones de firmware ZLD V4.60 hasta ZLD V5.21 Patch 1.

La vulnerabilidad afecta a los firewalls de Zyxel que soportan Zero Touch Provisioning (ZTP) y permitiría a un atacante remoto no autenticado la ejecución de código arbitrario en el dispositivo afectado.

La solución

La empresa recomienda instalar el parche ZLD V5.30 lo antes posible. Si es posible, activar las actualizaciones automáticas del firmware y desactivar el acceso WAN a la interfaz web administrativa del sistema.

Por Frank G