-------------------------------------------------------------------------------------------------------------------

Společnost Zyxel vám pomáhá při ochraně vaší sítě a údržbě brány firewall!

Podívejte se na tento článek a přečtěte si všechny TechTalk Insights:

[BEST PRACTICE] Údržba firewallu, ochrana konfigurace a zmírnění útoků CVE

-------------------------------------------------------------------------------------------------------------------Obvykléproblémy s aktualizací a kroky obnovy
Sekce nejčastěji kladených otázek
Optimalizace brány Firewall pro ochranu zařízení

V současné době jsme byli informováni o několika problémech souvisejících s připojením k síti VPN a přerušeních sítě, které nám byly nahlášeny. V reakci na tento problém jsme urychlili vývoj urgentního opravného firmwaru, který je k dispozici od 5/23 a platí pro všechny modely a který má situaci řešit a urychleně napravit. Od 5/24 společnost Zyxel vydala oficiální záplaty pro firewally postižené několika zranitelnostmi typu buffer overflow. Uživatelům doporučujeme, aby si je pro optimální ochranu nainstalovali.

Podívejte se na CVE na naší globální webové stránce

CVE-2023-33009

Zranitelnost přetečení bufferu ve funkci oznamování v některých verzích firewallu může neautentifikovanému útočníkovi umožnit způsobit na postiženém zařízení stav odepření služby (DoS) a dokonce vzdálené spuštění kódu.

CVE-2023-33010

Zranitelnost přetečení bufferu ve funkci zpracování ID v některých verzích brány firewall může neautentifikovanému útočníkovi umožnit způsobit podmínky DoS a dokonce vzdálené spuštění kódu na postiženém zařízení.

Potvrzení

Děkujeme následujícím bezpečnostním poradenským firmám:

• Lays a atdog ze společnosti TRAPA Security, dále pak
• STAR Labs SG

Potřebujete kompletní balíček pro všechny modely?
Stáhněte si zde všechna zařízení v jednom kroku! (3 GB)

Můžete také použít Cloud Firmware upgrade a místo hotfix verze nainstalovat 5.36 Patch 2 nebo 4.73 Patch 2! Jak upgradovat zařízení USG prostřednictvím cloudové služby

[Hotfix a Patch 2 jsou si podobné. Pokud používáte jednu z nich, nemusíte provádět upgrade na oficiální verzi. Můžete upgradovat příští verzi firmwaru 5.37, v červenci 2023 (normální tok vydání).

Probíhající problémy a způsoby řešení

Firmware 4.73 Patch 0 nebo vyšší a 5.32 Patch 0 nebo vyšší:

Zařízení by mělo být možné aktualizovat na verzi 4.73 Patch 2 nebo 5.36 Patch 2 přímo. Žádné další kroky nejsou potřeba. (On-Premise a Nebula Cloud)

!! Firmware 4.72 Patch 0 nebo starší a 5.32 Patch 0 nebo starší: (On-Premise) !!
[Dlouhodobě zastaralé firewally nemusí být schopny aktualizace na aktuální ochranu].

Symptom: V případě, že je brána v pohotovostním režimu, může být brána v pohotovostním režimu:
Zařízení nahraje firmware, ale nevyvolá restart.
Zařízení se při nahrávání zasekne na 100% obrazovce
Zařízení nelze aktualizovat na verzi 4.73 Patch 2 nebo 5.36 Patch 2 pomocí cloudu nebo ručního nahrávání.

Řešení:

Zálohování souboru startup-config.conf z oddílu RUNNING

Přejděte do Údržba -> Správce souborů -> Konfigurační soubor -> Konfigurace

Vyberte soubor "startup-config.conf" a stiskněte tlačítko "Download".

Restartujte systém do pohotovostního oddílu [CONFIG LOST] .

Konfigurace bude možná system-default.conf zde nebo jiné starší konfigurační soubory! WAN / Remote může být ztracen!

[To umožní upgrade na "PŘEDCHOZÍ BĚŽNÝ" oddíl].

Firmware bude may Base (4.29) a problém s prohlížečem, raději použijte Chrome, zkuste přeskočit Průvodce a nahrát firmware Patch 2 ručně.

Tím se přepíše konfigurace na Running, pokud nemáte zálohu, veškerá původní konfigurace se odstraní

Nyní se načte konfigurace pohotovostního oddílu a po restartu můžete ztratit přístup k firewallu. Pokud nemáte heslo správce, musíte firewall RESETOVAT podržením tlačítka RESET po dobu 15 sekund a po resetu použít zálohu konfigurace.

Počkejte, až se brána firewall zavede do pohotovostního oddílu.

Použití zálohy konfigurace na běžící oddíl

Znovu se přihlaste k bráně firewall. Pro zjištění IP adresy brány firewall můžete použít příkaz cmd (ipconfig) v počítači nebo si stáhnout program Advanced IP scanner.

Proveďte aktualizaci oddílu Running (č. 2 níže) na firmware Patch 2.

Nebo můžete upgradovat pohotovostní oddíl (#1 níže) a dojde ke klonování/kopírování konfiguračního souboru z oddílu Running do pohotovostního oddílu.

Nahrajte zálohu konfigurace do aktualizovaného oddílu.

Nyní nechte firewall restartovat a nahrajte záložní konfiguraci, kterou jste stáhli v kroku 1.

Poté jej nechte restartovat a použít konfiguraci.

Nyní můžete upgradovat na nejnovější verzi i pohotovostní oddíl, abyste se vyhnuli budoucím problémům.

Pokud máte problémy, upravte záložní konfigurační soubor "startup-conf.conf" v Poznámkovém bloku (nebo Poznámkovém bloku++) odstraněním řádku s firmwarem

Před:

Po:

Uložte konfigurační soubor a znovu jej nahrajte.

Co dalšího by vám mohlo blokovat přístup k firewallu?

Může se vás týkat předchozí narušení CVE, které způsobuje abnormální chování vašeho zařízení. Dobrou zprávou zatím je, že je všechny dokážeme opravit. Musíme však určit, kterým předchozím CVE je vaše zařízení postiženo.

Situace A - Po restartu počítače nemůžete blokovat "UDP500", protože grafické uživatelské rozhraní je přímo pryč.

V tomto případě se můžete pokusit dostat k zařízení pomocí Teamvieweru (přístup do sítě LAN) a navázat připojení FTP systému Windows (bez nástroje FTP) na IP adresu sítě LAN. Zkopírujte "startup-config" ze složky "conf" do složky "standby_conf" a "drag&drop" firmware Patch 2 do složky "firmware 1". Tím dojde k restartování brány firewall a aktualizaci systému.

Situace B - Po restartu lze blokovat UDP500, ale nelze upgradovat firmware.

Postupujte podle následujících pokynů: Toto řešení

Situace C - Nemůžete se dostat do zařízení pomocí "HTTPS" na běžném portu.

Zkontrolujte pomocí vzdálené sítě LAN, zda vaše zařízení funguje "HTTP" na základě portu 4337 jako záloha.
V takovém případě postupujte podle postupu pro situaci A.

Situace D - Zařízení HA nemůže aktualizovat firmware
Zobrazí se například chyba: "DHA2 detect passive fail"
V tomto případě je třeba znovu nasadit zařízení HA On-Site. Nebude existovat žádný způsob vzdáleného obnovení.

Přeinstalování zařízení HA Pro

Sekce často kladených otázek

Jaké problémy se objeví v mé síti nebo bráně firewall, pokud jsem již postižen?

• Grafické rozhraní nemusí umožnit přihlášení do rozhraní správce (démon ZySH je zaneprázdněn).
• VPN může mít nestabilní scénáře (propustnost provozu nebo tunel se často obnovuje s menší dobou provozu)
• Zařízení se může restartovat, pokud hlídací pes obnovuje démona příliš často
• Zařízení vykazuje vysoké využití procesoru (90 % nebo více)
• Velmi starý firmware: nefunkční port HTTPS
• Velmi starý firmware: Zařízení nemůže aktualizovat firmware

Jakou verzi firmwaru potřebuji, abych byl v bezpečí?

• Nainstalujte nejnovější firmware 5.36 Patch 2 nebo naši opravu hotfix podle výše uvedené tabulky.
  
  

Musím nainstalovat nějakou aktualizaci před verzí 4.73 Patch 2 nebo 5.36 Patch 2, nebo mohu provést upgrade přímo?

Nezáleží na tom, jakou verzi firmwaru máte ve svém zařízení, můžete přímo upgradovat na naši nejnovější verzi a můžete ignorovat všechny kroky cesty z dřívějších dokumentů Release Notes!

Co když se do zařízení nemohu přihlásit nebo jen někdy? [Kroky na ochranu proti útoku DDOS]

• Nejprve můžete zkusit restartovat zařízení a poté použít firmware.
• Odeberte dočasný port "IKE500" z WAN do skupiny ZyWALL (Objekt > Adresa).
• Vytvořte dočasné pravidlo brány firewall "WAN to ZyWALL" Služba: IKE500 (UDP) > Blokovat

V případě, že se nacházíte na pracovišti, můžete také prozatím odebrat uplink WAN a pokračovat v aktualizaci lokálně. Můžete to také zkusit na dálku tak, že na místě získáte pomoc s odebráním uplinku WAN a provedete upgrade prostřednictvím nástroje Teamviewer, tedy "Hotspot from Smartphone".

Tyto kroky by měly pomoci stabilizovat zařízení a upgradovat firmware na chráněnou verzi.

Moje síť VPN je po upgradu zařízení stále nestabilní. Co mohu dělat?

Je důležité aktualizovat server a klientské stránky (pro Site-to-Site VPN). Pouze v případě, že jsou aktualizovány obě stránky, bude ochrana úspěšná.

Musím po použití opravy hotfix ještě upgradovat na verzi 5.36 Patch 2 nebo 4.73 Patch 2?

Ne, verze bude podobná, takže další upgrade není nutný.

Týká se to také mého zařízení spravovaného systémem Nebula?

Ano, aktualizace pro systém Nebula jsou již k dispozici a firewall lze aktualizovat prostřednictvím řídicího centra Nebula CC - Aktualizace firmwaru zařízení [Správa firmwaru].

Chci nainstalovat firmware, ale průběh zůstává po nahrání na 100 % nebo se zařízení nerestartuje. Co mohu udělat?

To se může stát, pokud používáte starší verzi firmwaru, například 5.30, a týká se vás dříve vydaná oprava jiné prevence. Obraťte se na podporu a požádejte o další pomoc.

Aktualizoval jsem své zařízení, ale stále nemám provoz VPN nebo VPN není vybudována. Co mohu udělat?
Ujistěte se, že jste odstranili pravidla "WAN to ZyWALL" pro blokování provozu UDP500.

Existuje jiný způsob aktualizace firmwaru, pokud nefunguje?
Firmware můžete zkusit aktualizovat prostřednictvím FTP. USG & Zywall - Aktualizace firmwaru přes FTP

Můj provoz VPN nefunguje. Mám připojení do Švýcarska nebo k poskytovateli internetu Swisscom. Čím by to mohlo být?
Swisscom nedávno spustil aktualizaci pro Swisscom Router blokující provoz VPN v zóně DMZ. Obraťte se prosím na podporu Swisscom, abyste to opravili. Nejedná se o problém společnosti Zyxel. Také restartování směrovače Swisscom (2-3krát) by to mohlo dočasně vyřešit.

Optimalizace brány Firewall pro ochranu zařízení

Dodáváme mnoho článků a bezpečnostních funkcí o tom, jak můžete vždy udržovat zařízení up2date a mít optimální ochranu brány firewall.

[BEST PRACTICE] Údržba firewallu, ochrana konfigurace a zmírnění útoků CVE

Pokud budete mít v budoucnu nějaké dotazy, stačí okomentovat tento článek a my se s vámi brzy spojíme.
Nebo se obraťte na tým podpory!