Page 9 sur 9

Re: Topic Zyxel | USG

Publié : ven. 27 sept. 2019 15:02
par kevin_server
kalistyan a écrit : jeu. 26 sept. 2019 22:33
kevin_server a écrit : jeu. 26 sept. 2019 21:20 Hello,
C'est quoi comme USG? Quelle version de FW? Pour avoir bossé au support de cette marque pendant 1 an, dans la région lyonnaise, vous auriez fuit la marque si vous saviez ce qu'il s'y passe...

USG 60 avec le dernier FW.

... Que se passe t-il exactement ?
J'ai une liste longue comme le bras sur le sujet...
- Si vous avez déjà installé de l'UAG vous avez dû entendre parler du fameux NSALOG? Il s'agissait d'un NAS tout ce qu'il y a de plus classique, préconfiguré par les techniciens de la hotline;
- L'antivirus Kaspersky intégré dans les USG -> c'est du bullshit, car il n'a jamais fonctionné (je me suis personnellement battu avec le R&D pour qu'ils sortent un antivirus qui fonctionne un minimum... Même Eicar n'était pas bloqué...
- On avait été contacté par le service informatique d'un ministère qui nous avait remonté un bug dans le SNMP d'une borne -> la R&D nous avait envoyé un FW patché -> ils avaient retiré le SNMP.

Et j'en ai encore par dizaines

Re: Topic Zyxel | USG

Publié : ven. 27 sept. 2019 16:53
par kalistyan
Chez Zyxel, j'me limite au USG. ;)

Re: Topic Zyxel | USG

Publié : ven. 6 mars 2020 13:16
par dsebire
Zyxel security advisory for vulnerability (CVE-2020-9054)
Standard firmware patches available

● What is the vulnerability?
• Zyxel firewall products are affected by a remote code execution vulnerability. Users are advised to follow the workaround immediately for optimal protection. (CVE: CVE-2020-9054)

● What product are vulnerable-and what should you do?
• After a thorough investigation, we’ve identified the vulnerable products that are within their warranty and support period, as shown in http://trk.cp20.com/click/d9wg-1tgj06-m82wbv-abpnm8y1/. For optimal protection, we urge you to install the firmware patches when available.


● We've been implementing the following security measures for years to ensure optimal protection for the firmware upgrading process
• Users will need to register before they can download firmware from myZyxel through an encrypted connection.
• When new firmware releases are available, Zyxel will directly push-notify users on their device's management interface and instruct users to download it from the cloud instead of FTP.
• The firmware has a special anti-modification mechanism, if modified in any way, the firmware cannot be installed on the device.
Release Date: March 6, 2020
Got a question or tipoff? Please contact your local service rep or post them on our Forum we will be happy to help. Visit Zyxel One Security

Re: Topic Zyxel | USG

Publié : ven. 1 janv. 2021 19:45
par kalistyan

Re: Topic Zyxel | USG

Publié : mer. 6 janv. 2021 14:45
par c0bw3b
Et c'est déjà exploité dans la nature : https://securityaffairs.co/wordpress/11 ... ttack.html

Re: Topic Zyxel | USG

Publié : mer. 6 janv. 2021 15:52
par dsebire
ça ne concerne que le matériel assez récent, en firmware 4.60
les séries x10 (110/310 par ex) ne sont pas touchés (et toujours supportés)

Re: Topic Zyxel | USG

Publié : ven. 25 juin 2021 01:26
par kalistyan
Authentication bypass attacks allow hackers to change breach network security.
=> https://arstechnica.com/gadgets/2021/06 ... -and-vpns/