Certains pare-feux du taïwanais Zyxel sont bloqués dans une boucle de redémarrage après une mise à jour défectueuse datant du 24 janvier 2025. Le problème n’est ni lié à la sécurité ni à une quelconque vulnérabilité, précise le fournisseur.
« Nous avons remarqué un problème qui peut causer des boucles de redémarrage sur nos appareils, ainsi que des échecs du démon ZySH ou des problèmes d’accès à la connexion », peut-on lire dans l’avis de Zyxel. « La LED du système peut également clignoter ». Et d’ajouter : « Veuillez noter que ce problème n’est pas lié à une vulnérabilité CVE ou à un problème de sécurité. Il provient d’une défaillance dans la mise à jour de la signature de l’application, et non d’une mise à niveau du micrologiciel. Nous avons désactivé la signature de l’application sur nos serveurs afin d’éviter tout impact sur les pare-feux qui n’ont pas chargé les nouvelles versions de la signature. »
Outre les boucles de redémarrage, certains utilisateurs ne peuvent plus entrer dans les commandes de la console. D’autres reçoivent des messages d’erreur comme celui d’une utilisation anormalement élevée du processeur.
Les pare-feux concernés sont les boîtiers USG Flex et ceux de la série ATP fonctionnant avec des versions de microprogrammes ZLD. Ce sont des installations avec des licences de sécurité actives et des mises à jour de signatures dédiées activées en mode sur site/standalone. Les pare-feux fonctionnant sur la plateforme Nebula, sur USG Flex H (uOS) et ceux ne disposant pas de licences de sécurité actives ne sont pas concernés.
Il n’existe actuellement qu’un seul moyen de contourner ce problème selon Zyxel. Ce contournement n’est pas particulièrement simple à mettre en œuvre car il requiert d’avoir un accès physique au pare-feu ainsi qu’un un câble Console/RS232. Zyxel détaille toutes les étapes du processus de récupération dans son avis et a également rouvert le canal Microsoft Teams de son service d’assistance pour répondre aux questions de sa clientèle.