Důležité upozornění: |
Aktualizováno:
(Sledujte tento článek, chcete-li dostávat další aktualizace, klikněte na tlačítko "Sledovat", abyste obdrželi e-mail, pokud bude tento článek aktualizován!)
Společnost Zyxel sledovala nedávné aktivity aktérů hrozeb zaměřených na bezpečnostní zařízení Zyxel a vydala opravy firmwaru na obranu proti nim. Aktualizace jsou nyní k dispozici! Uživatelům doporučujeme, aby si záplaty nainstalovali pro optimální ochranu.
Na základě našeho šetření se aktéři hrozeb pokoušejí získat přístup k zařízení prostřednictvím sítě WAN; pokud se jim to podaří, snaží se pak přihlásit pomocí ukradených platných pověření nebo obejít ověřování a vytvořit tunely SSL VPN s existujícími nebo nově vytvořenými uživatelskými účty, například "zyxel_sllvpn", "zyxel_ts" nebo "zyxel_vpn_test", a manipulovat s konfigurací zařízení.
Společnost Zyxel spolupracuje s bezpečnostními výzkumníky třetích stran na sledování aktivit aktérů hrozeb. Na základě našeho šetření by mohli zneužívat kombinaci vektorů útoku, včetně:
- Platné přihlašovací údaje uživatelů, které již dříve získali z prolomení v minulosti známých zranitelností, potenciálně CVE-2020-29583 nebo CVE-2020-9054, byly kompletně opraveny v březnu a prosinci 2020. Zaznamenali jsme, že se aktéři hrozeb přihlašovali pomocí legitimních uživatelských pověření s právy správce a v některých případech také vytvářeli nové účty správce.
- Nově odhalená zranitelnost obcházení ověřování sledovaná jako CVE-2021-35029, která řádně nesterilizovala vstupní řetězce a mohla umožnit protivníkovi získat přístup.
Postižené produkty:
Zranitelná jsou zařízení VPN, ZyWALL, USG, ATP, USG FLEX Series v režimu On-Premise s povolenou vzdálenou správou nebo SSL VPN.
Ty, které používají režim cloudové správy Nebula, postiženy NEJSOU.
Jak zjistit, zda je váš firewall postižen?
Postižená verze firmwaru:
ZLD V4.35 až ZLD 5.01
(kódy dat a týdenní verze uživatelů, postupujte podle SOP pro zmírnění]. Pracujeme na týdenní verzi, která tyto opravy obsahuje, a co nejdříve je vydáme samostatně.
Společnost Zyxel vydala standardní opravy firmwaru, které zůstávají definitivním řešením problémů pro dotčené modely, jak je uvedeno v tabulce níže. Záplaty obsahují také další bezpečnostní vylepšení na základě zpětné vazby uživatelů a rad bezpečnostních výzkumníků, která důrazně doporučujeme uživatelům okamžitě nainstalovat pro optimální ochranu sítě.
Děkujeme týmu Spike Reply Cyber Security Team za spolupráci při vyšetřování a odstraňování tohoto problému.
Záplaty firmwaru
(jako nejrychlejší způsob aktualizace firmwaru můžete použít službu aktualizace firmwaru online).
Jak aktualizovat zařízení USG prostřednictvím cloudové služby
| Model |
ZLD5.02 (oprava 0) 4. července 2021 |
| Všechna zařízení / všechny aktualizace v jednom balíčku | Stáhněte si stránky |
| USG FLEX 100 | Stáhnout |
| USG FLEX 100W | Stáhnout |
| USG FLEX 200 | Stáhnout |
| USG FLEX 500 | Ke stažení na |
| USG FLEX 700 | Stáhnout |
| ATP100 | Stáhnout |
| ATP100W | Stáhnout |
| ATP200 | Stáhnout |
| ATP500 | Stáhnout |
| ATP700 | Stáhnout |
| ATP800 | Stáhnout |
| USG20-VPN | Stáhnout |
| USG20W-VPN | Stáhnout |
| USG40 | Stáhnout |
| USG40W | Stáhnout |
| USG60 | Stáhnout |
| USG60W | Stáhnout |
| USG110 | Stáhnout |
| USG210 | Stáhnout |
| USG310 | Stáhnout |
| USG1100 | Stáhnout |
| USG1900 | Stáhnout |
| USG2200 | Stáhnout |
| ZyWALL110 | Stáhnout |
| ZyWALL310 | Stáhnout |
| ZyWALL1100 | Stáhnout |
| VPN50 | Stáhnout |
| VPN100 | Stáhnout |
| VPN300 | Stáhnout |
| VPN1000 | Stáhnout |
Poznámky k verzi a pokyny:
- CVE-2021-35029
Oprava zranitelnosti pro webové rozhraní pro správu zařízení Zyxel USG/ZyWALL, USG FLEX, ATP a řady VPN.
- Vylepšení dvoufaktorového ověřování
Podporuje konfigurovatelný port služby 2FA.
[Objekt -> Auth. Method -> Two-Factor Authentication -> Authorized Port
- Vylepšení kontroly zabezpečení
Automatické zakázání portu HTTP při povolení správy WAN v zabezpečení.
Průvodce kontrolou.
- Připomenutí změny hesla
Připomíná privilegovaným účtům, aby si kvůli bezpečnosti změnily hesla.
- Kontrola zásad zabezpečení
Zobrazuje chybnou konfiguraci zásad zabezpečení prostřednictvím vyskakovacího oznámení spolu s aktualizací firmwaru a připomínkou změny hesla.
Kontrola zabezpečení se zobrazí po dokončení aktualizace firmwaru a přihlášení správce k zařízení.
Náhled Příklad vyplněné kontroly zabezpečení pro webové rozhraní
Přístup k síti WAN by měl patřit IP adrese WAN vaší společnosti / IP adrese pro přístup pouze správce.
SSL VPN by měla patřit k bezplatné funkci GEO IP, tj. k Německu a Rakousku. Pokud se jedná o tuto oblast, budou se pracovníci SSL VPN k zařízení přihlašovat. Po vytvoření této kontroly zabezpečení můžete přidat další IP adresy nebo země pomocí nastavení brány Firewall.
Doporučujeme oddělit "SSL VPN Port" od "WAN Port for Admin Login", pracovník VPN může např. používat Port 8443 pro přihlášení pomocí SSL VPN, kde je přístup Admin Login plně omezen.
Pokud si tímto krokem nejste jisti, klikněte na "Cancel" a postupujte podle kroků pro zmírnění následků níže v tomto článku.
- Vylepšení protokolu
Poskytuje historii záznamů při změně objektu uživatele.
Pomocí kategorie "User" a serveru Syslog nebo e-mailového upozornění můžete identifikovat, zda došlo k přihlášení/odhlášení uživatele ze zařízení nebo k vytvoření či odstranění uživatele správce. Nastavení položky serveru Syslog v zařízení USG.
Další vylepšení:
- Vylepšení průvodce úvodním nastavením
Pomáhá uživatelům prosazovat zásady zabezpečení proti přístupu k webovému rozhraní pro správu a službě SSL VPN z internetu.
- Konfigurovatelný přístup k síti SSL VPN a WAN
Odděluje možnosti přístupu ke službě SSL VPN a WAN Access.
Jak používat SSL VPN na jiném portu než webové grafické rozhraní
- GeoIP je nyní bezplatnou funkcí.
Vestavěná funkce GeoIP pro posílení zabezpečení přístupu - která je nyní k dispozici zdarma pro celou řadu firewallů.
Jak používat funkci GeoIP
Jak zjistit, zda se to týká vaší brány firewall?
Potenciálním důvodem, proč jste postiženi, může být následující chování:
- Problémy s VPN
- Problém se směrováním
- Problém s provozem
- Neznámé parametry konfigurace
- Vytvoření dalšího správce
Jedna nebo více změn konfigurace se zobrazí, pokud se týká vašeho zařízení:
-
Neznámé vytvořené účty správce
[Konfigurace -> Objekt -> Nastavení uživatele / skupiny]
Opravná akce: Odstraňte všechny neznámé účty správce a uživatele
Vytvoření účtu User / Admin bude na konci seznamu (poslední v seznamu). Několik příkladů může být:
(manage, zyxel_sllvpn, sslvpn_index, zyxel_ts, atd...) Ostatní / nové neznámé by se mohly stát také.
Tyto účty se obvykle nacházejí na spodní / poslední stránce seznamu účtů.
-
Vytvořena neznámá trasa zásad
[Konfigurace -> Směrování -> Trasa zásad]
Opatření k nápravě: Odstranit Policy Route 1, pokud podmínky odpovídají
Na obrazovce Policy Route se obvykle na pozici 1 zobrazuje neznámá Policy Route.
Příklad:
LAN1_Subnet -> do libovolné -> Next-Hop -> AUTO
Příklad 2:
LAN1_Subnet -> do libovolné -> Next-Hop -> VPN Tunnel.
-
Neznámá bezpečná politika / vytvořené pravidlo brány firewall
[Configuration -> Secure Policy]
Opravná akce: Smazat pravidlo brány firewall, v jehož popisu je uvedeno "loseang".
Zobrazí se nově vytvořené pravidlo firewallu s popisem "loseang" a obvykle způsobem "WAN to ZyWALL".
-
Neznámé nastavení SSL VPN
[Configuration -> SSL VPN]
Opravná akce: Odstranění skupiny nastavení "SSL VPN" / uživatele
Obvykle je vytvořen uživatel s názvem "zyxel_ts" nebo "zyxel_sllvpn" nebo "sslvpn_index" nebo "zyxel_vpn_test" a nebo je to název nastavení SSL VPN.
Co můžete dělat, pokud jste ve svém zařízení našli výše uvedené body?
1) Opravte zařízení: (náš tým podpory vám také nabízí vzdálené sezení přes Teamviewer, které vám pomůže).
- Akce na opravu: Proveďte opravu zařízení, které se nachází v blízkosti zařízení: Odstraňte všechny neznámé účty správce a uživatele
- Opravná akce: 1: Odstraňte trasu zásad 1, pokud podmínky odpovídají
- Opravná akce: Odstranit pravidlo brány firewall, které v popisu zobrazuje "loseang".
- Opravná akce: Odstranit skupinu / uživatele nastavení "SSL VPN".
2) Chraňte toto zařízení pomocí následujících změn a upgradujte na nejnovější verzi firmwaru a
. Všechny změny ochrany jsou shrnuty v tomto videosouboru:
a) Zkontrolujte konfiguraci brány firewall (povinné)
- Povolte pouze zdrojovou IP adresu, která je povolena pro asistenci nastavenízóny ZyWALL .
- Chraňte ji pomocí funkce GEO IP Country z vaší asistence pro nastavenípolohy.
- Ujistěte se, že všechna ostatní nedůvěryhodná připojení z WAN do ZyWALL jsou nastavena do nižší pozice pravidla "deny" jako pravidla "allow".
b) Změny portů (navrhněte)
[Buďte opatrní - proto nejprve upravte Firewall, a pokud se sami připojíte pomocí SSL VPN, znovu vás připojí, neblokujte se].
- Změňte port HTTPS na jiný port. Pomoc s nastavením
- Změňte port pro SSL VPN na jiný port, který se nepřekrývá s portem GUI HTTPS.
(funkce ZLD 5.0) Pomoc při nastavení
c) Změna hesla (povinná)
- Změňte heslo správce
d) Nastavení dvoufaktorového přihlášení (volitelné) Pomoc při nastavení
Pokud chcete dostávat oznámení o dalších upozorněních na bezpečnostní incidenty, sledujte tento článek , abyste o nich mohli dostávat oznámení.
Máte-li další otázky nebo obavy týkající se zabezpečení sítě, neváhejte se obrátit na náš tým podpory nebo na místního obchodního zástupce - rádi vám pomohou.
Komentáře
0 komentářů
Prosím přihlaste se, abyste mohli napsat komentář.