Важно известие: |
-------------------------------------------------------------------------------------------------------------------
Zyxel ви помага в защитата на вашата Мрежа и поддръжката на вашата защитна стена!
Прегледайте тази статия, за да прочетете всички TechTalk Insights:
-------------------------------------------------------------------------------------------------------------------Често срещанипроблеми при ъпгрейд и стъпки за възстановяване
Раздел с най-често задаванивъпроси
Оптимизиране на защитната стена за защита на устройствата
В момента сме уведомени за няколко проблема, свързани с VPN връзката, и прекъсвания на мрежата, за които ни е съобщено. В отговор на този проблем ускорихме разработването на спешна гореща поправка на фърмуера, налична от 5/23 и приложима за всички модели, която има за цел да се справи и бързо да коригира ситуацията. От 5/24 Zyxel пусна официални кръпки за защитните стени, засегнати от множество уязвимости, свързани с препълване на буфера. На потребителите се препоръчва да ги инсталират за оптимална защита.
Вижте CVE на нашата глобална уебстраница
CVE-2023-33009
Уязвимост, свързана с препълване на буфера, във функцията за уведомяване в някои версии на защитната стена може да позволи на неаутентифициран нападател да предизвика условия на отказ на услуга (DoS) и дори отдалечено изпълнение на код на засегнатото устройство.
CVE-2023-33010
В някои версии на защитната стена уязвимостта с препълване на буфера във функцията за обработка на идентификатори може да позволи на неавтентифициран нападател да предизвика условия на DoS и дори отдалечено изпълнение на код на засегнатото устройство.
Потвърждение
Благодарим на следните консултантски фирми в областта на сигурността:
- Lays и atdog от TRAPA Security, последвани от
- STAR Labs SG
Нуждаете се от пълен пакет за всички модели?
Изтеглете тук за всички устройства в една стъпка! (3GB)
Можете също така да използвате Cloud Firmware upgrade (облачно обновяване на фърмуера) и да инсталирате 5.36 Patch 2 или 4.73 Patch 2 вместо версията с горещи поправки! Как да надстроите устройствата USG чрез облачна услуга
[Hotfix и Patch 2 са сходни. Ако сте на една от тях, не е необходимо да обновявате на официалната версия. Можете да надстроите следващото издание на фърмуера 5.37, през юли 2023 г. (нормален поток на издаване)
| Модел | Фърмуер Hotfix |
| Стари устройства (базирани на версия 4.73 Patch 1+включва всички последни седмични поправки) 4.73 Patch 2 е подобен и също може да се използва (онлайн обновяване на фърмуера или изтегляне от MyZyxel.com) |
|
| USG40 | Изтегляне на гореща поправка |
| USG40W | Изтегляне на Hotfix |
| USG60 | Изтегляне на Hotfix |
| USG60W | Изтегляне на Hotfix |
| USG110 | Изтегляне на Hotfix |
| USG210 | Изтегляне на Hotfix |
| USG310 | Изтегляне на Hotfix |
| USG1100 | Изтегляне на Hotfix |
| USG1900 | Изтегляне на Hotfix |
| USG2200 | Изтегляне на Hotfix |
| ZyWALL110 | Изтегляне на Hotfix |
| ZyWALL310 | Изтегляне на Hotfix |
| ZyWALL1100 | Изтегляне на Hotfix |
|
Наземни устройства (базирани на 5.36 Patch 1 + включващи всички последни седмични поправки) 5.36 Patch 2 е подобен и също може да се използва (онлайн обновяване на фърмуера или изтегляне от MyZyxel.com) |
|
| USG FLEX 50 / USG20-VPN | Изтегляне на гореща поправка |
| USG FLEX 50W / USG20W-VPN | Изтегляне на Hotfix |
| USG FLEX 100 | Изтегляне на Hotfix |
| USG FLEX 100W | Изтегляне на Hotfix |
| USG FLEX 200 | Изтегляне на Hotfix |
| USG FLEX 500 | Изтегляне на Hotfix |
| USG FLEX 700 | Изтегляне на Hotfix |
| VPN50 | Изтегляне на Hotfix |
| VPN100 | Изтегляне на Hotfix |
| VPN300 | Изтегляне на Hotfix |
| VPN1000 | Изтегляне на Hotfix |
| ATP100 | Изтегляне на Hotfix |
| ATP100W | Изтегляне на Hotfix |
| ATP200 | Изтегляне на Hotfix |
| ATP500 | Изтегляне на Hotfix |
| ATP700 | Изтегляне на Hotfix |
| ATP800 | Изтегляне на Hotfix |
| Не са засегнати наследените устройства с изтекъл срок на годност (3.30) | |
Текущи проблеми и начини за решаване
Фърмуер 4.73 Patch 0 или по-висок и 5.32 Patch 0 или по-висок:
Устройството трябва да може да се надгражда директно до 4.73 Patch 2 или 5.36 Patch 2. Не е необходимо да се предприемат допълнителни действия. (На място и в облака Nebula)
!! Фърмуер 4.72 Patch 0 или предишен и 5.32 Patch 0 или предишен: (On-Premise) !!
[Дълго остарелите защитни стени може да не са в състояние да се актуализират до текущата защита]
Симптом:
Устройството качва фърмуер, но не предизвиква рестартиране
Устройството е заседнало на екрана на 100% при качване
Устройството не може да се обнови до версия 4.73 Patch 2 или 5.36 Patch 2 чрез облачно или ръчно качване
Решение:
Изготвяне на резервно копие на startup-config.conf от дяла RUNNING
Навигирайте до Maintenance (Поддръжка) -> File Manager (Мениджър на файлове) -> Configuration File (Файл с конфигурация) -> Configuration (Конфигурация)
Изберете "startup-config.conf" и натиснете "Изтегляне".
Рестартирайте към дял в режим на готовност [CONFIG LOST]
Конфигурацията ще бъде май system-default.conf тук или други по-стари конфигурационни файлове! WAN / Remote може да бъде загубена!
[Това ще позволи надграждане до "ПРЕДИШНИЯ РАБОТЕН" дял]
Фърмуерът ще бъде май Base (4.29) и проблем с браузъра, предпочитам да използвам Chrome, опитайте се да пропуснете съветника и да качите фърмуера Patch 2 ръчно
Това ще презапише конфигурацията на Running, ако нямате резервно копие, цялата оригинална конфигурация ще бъде премахната
Конфигурацията на резервния дял сега ще бъде заредена и може да загубите достъп до защитната стена след рестартирането. Ако не разполагате с паролата на администратора, трябва да нулирате защитната стена, като задържите бутона RESET за 15 секунди и приложите резервната конфигурация след нулирането.
Изчакайте защитната стена да зареди резервния дял
Прилагане на резервно копие на конфигурацията на работещия дял
Влезте отново в защитната стена. Можете да използвате cmd (ipconfig) на вашия компютър или да изтеглите Advanced IP scanner, за да намерите IP адреса на защитната стена.
Актуализирайте работещия дял (№ 2 по-долу) до фърмуера Patch 2.
Или можете да надстроите резервния дял (№ 1 по-долу) и той ще клонира/копира конфигурационния файл от работния дял в резервния дял.
Качете резервната конфигурация в обновения дял
Сега оставете защитната стена да се рестартира и качете резервната конфигурация, която изтеглихте в стъпка 1.
След това нека се рестартира и приложи конфигурацията.
Сега можете да надстроите и резервния дял до най-новата версия, за да избегнете бъдещи проблеми.
Ако имате проблеми, променете резервния конфигурационен файл "startup-conf.conf" в Notepad (или Notepad++), като премахнете реда за фърмуера
Преди:
След:
Запазете конфигурационния файл и го качете отново.
Какво друго може да блокира достъпа до защитната стена?
Възможно е да сте засегнати от предишни пробиви в CVE, които причиняват необичайно поведение на вашето устройство. Засега добрата новина е, че сме в състояние да поправим всички тях. Но трябва да определим от кой предишен CVE е засегнато вашето устройство.
Ситуация А - След рестартиране не можете да блокирате "UDP500", тъй като графичният потребителски интерфейс директно е изчезнал
В този случай можете да се опитате да получите устройството чрез Teamviewer (LAN достъп) и да осъществите Windows FTP връзка (без FTP инструмент) към LAN IP. Копирайте "startup-config" от папката "conf" в папката "standby_conf" и "drag&drop" фърмуера Patch 2 в папката "firmware 1". Това ще рестартира защитната стена и ще обнови системата.
Ситуация Б - След рестартиране можете да блокирате UDP500, но не можете да обновите фърмуера
Моля, следвайте: Това решение
Ситуация C - Не можете да достигнете до устройството си чрез "HTTPS" на нормалния порт
Проверете чрез отдалечена локална мрежа дали устройството ви работи с "HTTP" на базата на порт 4337 като резервен вариант.
Ако случаят е такъв, моля, следвайте процедурата за ситуация А.
Ситуация D - Device HA can't upgrade firmware
Например, получавате грешка: "DHA2 detect passive fail"
В този случай трябва да разгърнете отново Device HA On-Site. Няма да има начин за дистанционно възстановяване.
Преразполагане на Device HA Pro
Раздел "Често задавани въпроси
Какви проблеми се появяват в моята мрежа или защитна стена, ако вече съм засегнат?
- Графичният потребителски интерфейс може да не ви позволи да влезете в администраторския интерфейс (ZySH Daemon е зает)
- VPN може да има нестабилни сценарии (преминаване на трафика или тунелът често се възстановява с по-малко време за работа)
- Устройството може да се рестартира, ако наблюдателят често възстановява демона
- Устройствата показват високо използване на процесора (90% или повече)
- Много стар фърмуер: HTTPS портът не работи
- Много стар фърмуер: Устройството не може да обнови фърмуера
Коя версия на фърмуера ми е необходима, за да съм сигурен?
- Моля, инсталирайте най-новата версия на фърмуера 5.36 Patch 2 или нашата гореща поправка от таблицата по-горе.
Трябва ли да инсталирам някаква актуализация преди 4.73 Patch 2 или 5.36 Patch 2, или мога да обновя директно?
Няма значение коя версия на фърмуера имате на устройството си, можете директно да надстроите до последната ни версия и можете да пренебрегнете всички стъпки по пътя от по-ранните документи Release Notes!
Какво да правя, ако не мога да вляза в устройството или само понякога? [Стъпки за защита на часовника при DDOS атака]
- Можете да опитате първо да рестартирате устройството, след което да приложите фърмуера
- Премахнете временния порт "IKE500" от WAN към групата ZyWALL (Обект > Адрес)
- Създайте временно правило за защитна стена "WAN to ZyWALL" (Услуга "WAN to ZyWALL"): IKE500 (UDP) > Block
В случай че се намирате на място, можете също така да премахнете WAN връзката за момента и да продължите с обновяването локално. Можете също така да опитате това от разстояние, като получите помощ за премахване на WAN uplink на място и извършване на обновяването чрез Teamviewer, т.е. "Hotspot from Smartphone".
Тези стъпки трябва да помогнат за стабилизиране на устройството и за надграждане на фърмуера до защитена версия.
Моята VPN мрежа все още е нестабилна, след като надградих устройството. Какво мога да направя?
Важно е да обновите сървърния и клиентския сайт (за Site-to-Site VPN). Само ако и двата сайта са надградени, защитата ще бъде успешна.
Трябва ли все пак да надстроя до 5.36 Patch 2 или 4.73 Patch 2, ако приложа горещата поправка?
Не, версията ще бъде сходна, така че не е необходимо допълнително надстрояване.
Засегнато ли е и моето устройство, управлявано от Nebula?
Да, актуализациите за Nebula вече са налични, а защитната стена може да бъде актуализирана чрез Nebula Control Center Nebula CC - Upgrade a Device Firmware [Управление на фърмуера].
Искам да инсталирам фърмуера, но напредъкът остава на 100% след качването или устройството не се рестартира. Какво мога да направя?
Това може да се случи, ако сте на по-стара версия на фърмуера, например 5.30, и сте засегнати от публикувани по-рано поправки за други превенции. Моля, свържете се с отдела за поддръжка, за да получите допълнителна помощ.
Актуализирах устройствата си, но все още нямам VPN трафик или VPN не е изградена. Какво мога да направя?
Уверете се, че сте премахнали правилата "WAN to ZyWALL", за да блокирате трафика UDP500.
Има ли друг начин за обновяване на фърмуера, ако не работи?
Можете да опитате да обновите фърмуера чрез FTP. USG и Zywall - актуализация на фърмуера чрез FTP
Моят VPN трафик не работи. Имам връзка с Швейцария или с доставчика на интернет Swisscom. Какво може да е това?
Swisscom наскоро пусна актуализация за Swisscom Router, която блокира VPN трафика в DMZ зоната. Моля, свържете се с поддръжката на Swisscom, за да бъде отстранен проблемът. Това не е проблем на Zyxel. Също така, рестартиране на Swisscom Router (2-3 пъти) може временно да го отстрани.
Оптимизиране на защитната стена за защита на устройствата
Предоставяме много статии и функции за сигурност за това как можете винаги да поддържате устройството си up2date и да имате оптимална защита на защитната стена.
[НАЙ-ДОБРА ПРАКТИКА] Поддръжка на защитната стена, защита на конфигурацията и намаляване на атаките CVE
Ако имате бъдещи въпроси, просто коментирайте тази статия и ние ще се свържем с вас скоро.
Или се свържете с екипа за поддръжка!