-------------------------------------------------------------------------------------------------------------------

Zyxel unterstützt Sie beim Schutz Ihres Netzwerks und bei der Wartung Ihrer Firewall!

Lesen Sie diesen Artikel, um alle TechTalk Insights zu erfahren:

[BEST PRACTICE] Firewall-Wartung, Konfigurationsschutz und CVE-Angriffsabwehr

-------------------------------------------------------------------------------------------------------------------GängigeProbleme mit Upgrade- und Wiederherstellungsschritten
FAQ-Bereich mit den am häufigsten gestellten Fragen
Optimierung der Firewall zum Schutz der Geräte

Wir wurden über mehrere VPN-Verbindungsprobleme und Netzwerkunterbrechungen informiert, die uns derzeit gemeldet werden. Als Reaktion auf dieses Problem haben wir die Entwicklung einer dringenden Hotfix-Firmware beschleunigt, die seit dem 23.5. verfügbar ist und für alle Modelle gilt, um die Situation zu beheben und umgehend Abhilfe zu schaffen. Seit dem 24.5. hat Zyxel offizielle Patches für Firewalls veröffentlicht, die von mehreren Pufferüberlaufschwachstellen betroffen sind. Benutzern wird empfohlen, diese zu installieren, um sich optimal zu schützen.

Sehen Sie sich CVE auf unserer Global Webpage an

CVE-2023-33009

Eine Pufferüberlaufschwachstelle in der Benachrichtigungsfunktion in einigen Firewall-Versionen könnte es einem nicht authentifizierten Angreifer ermöglichen, Denial-of-Service (DoS)-Bedingungen und sogar eine Remotecodeausführung auf einem betroffenen Gerät zu verursachen.

CVE-2023-33010

In einigen Firewall-Versionen kann eine Pufferüberlauf-Schwachstelle in der ID-Verarbeitungsfunktion es einem nicht authentifizierten Angreifer ermöglichen, DoS-Bedingungen und sogar eine Remotecode-Ausführung auf einem betroffenen Gerät zu verursachen.

Danksagung

Vielen Dank an die folgenden Sicherheitsberatungsfirmen:

• Lays und atdog von TRAPA Security, gefolgt von
• STAR Labs SG

Siebenötigen ein komplettes Paket für alle Modelle?
Laden Sie hier für alle Geräte in einem Schritt herunter! (3GB)

Sie können auch das Cloud Firmware Upgrade nutzen und 5.36 Patch 2 oder 4.73 Patch 2 anstelle der Hotfix-Version installieren! So aktualisieren Sie USG-Geräte über den Cloud-Service

[Hotfix und Patch 2 sind ähnlich. Wenn Sie eine der beiden Versionen verwenden, müssen Sie nicht auf die offizielle Version aktualisieren. Sie können das nächste Firmware-Release 5.37 im Juli 2023 aktualisieren (normaler Release-Flow)

Laufende Probleme und Lösungswege

Firmware 4.73 Patch 0 oder höher und 5.32 Patch 0 oder höher:

Das Gerät sollte in der Lage sein, direkt auf 4.73 Patch 2 oder 5.36 Patch 2 zu aktualisieren. Es sind keine weiteren Maßnahmen erforderlich. (Vor-Ort & Nebula Cloud)

!! Firmware 4.72 Patch 0 oder früher und 5.32 Patch 0 oder früher: (On-Premise) !!
[Längst veraltete Firewalls können möglicherweise nicht auf den aktuellen Schutz aktualisiert werden]

Symptom:
Das Gerät lädt die Firmware hoch, löst aber keinen Neustart aus
Das Gerät bleibt beim Hochladen auf dem 100%-Bildschirm hängen
Das Gerät kann nicht über die Cloud oder den manuellen Upload auf 4.73 Patch 2 oder 5.36 Patch 2 aktualisiert werden.

Lösung:

Sichern Sie die startup-config.conf von der RUNNING-Partition

Navigieren Sie zu Wartung -> Dateimanager -> Konfigurationsdatei -> Konfiguration

Wählen Sie die "startup-config.conf" und klicken Sie auf "Download".

Starten Sie auf der Standby-Partition neu [CONFIG LOST]

Die Konfiguration kann hier system-default.conf oder andere ältere Konfigurationsdateien sein! WAN / Remote könnte verloren gehen!

[Dies ermöglicht Upgrades auf die "PREVIOUS RUNNING" Partition]

Die Firmware wird Mai Base (4.29) und Browser Issue sein, bevorzuge Chrome, versuche den Wizard zu überspringen und Patch 2 Firmware manuell hochzuladen

Dies überschreibt die Konfiguration auf Running, wenn Sie kein Backup haben, wird die gesamte ursprüngliche Konfiguration entfernt

Die Konfiguration der Standby-Partition wird nun geladen, und nach dem Neustart verlieren Sie möglicherweise den Zugriff auf die Firewall. Wenn Sie kein Administratorkennwort haben, müssen Sie die Firewall zurücksetzen, indem Sie die RESET-Taste 15 Sekunden lang gedrückt halten und die Backup-Konfiguration nach dem Zurücksetzen anwenden.

Warten Sie, bis die Firewall die Standby-Partition hochgefahren hat.

Sicherung der Konfiguration auf der laufenden Partition anwenden

Melden Sie sich erneut bei Ihrer Firewall an. Sie können cmd (ipconfig) auf Ihrem PC verwenden oder den Advanced IP Scanner herunterladen, um Ihre Firewall-IP zu finden.

Aktualisieren Sie die laufende Partition (#2 unten) auf die Patch 2-Firmware.

Sie können auch die Standby-Partition aktualisieren (Nr. 1 unten). Dabei wird die Konfigurationsdatei von der laufenden Partition auf die Standby-Partition geklont/kopiert.

Laden Sie die Backup-Konfiguration auf die aktualisierte Partition hoch

Starten Sie nun die Firewall neu und laden Sie die in Schritt 1 heruntergeladene Sicherungskonfiguration hoch.

Starten Sie dann neu und wenden Sie die Konfiguration an.

Nun können Sie auch die Stand-by-Partition auf den neuesten Stand bringen, um zukünftige Probleme zu vermeiden.

Wenn Sie Probleme haben, ändern Sie die Backup-Konfigurationsdatei "startup-conf.conf" in Notepad (oder Notepad++), indem Sie die Firmware-Zeile entfernen

Vorher:

Nachher:

Speichern Sie die Konfigurationsdatei und laden Sie sie erneut hoch.

Was könnte Sie noch daran hindern, Ihre Firewall zu erreichen?

Möglicherweise sind Sie von früheren CVE-Verletzungen betroffen, die ein abnormales Verhalten auf Ihrem Gerät verursachen. Die gute Nachricht ist, dass wir sie alle beheben können. Aber wir müssen herausfinden, von welcher früheren CVE Ihr Gerät betroffen ist.

Situation A - Nach einem Neustart können Sie "UDP500" nicht blockieren, da die GUI direkt verschwunden ist

In diesem Fall können Sie versuchen, das Gerät über einen Teamviewer (LAN-Zugang) zu erreichen und eine Windows-FTP-Verbindung (kein FTP-Tool) zur LAN-IP herzustellen. Kopieren Sie die "startup-config" aus dem "conf"-Ordner in den "standby_conf"-Ordner und ziehen Sie die Patch 2-Firmware per "drag&drop" in den "firmware 1"-Ordner. Dadurch wird die Firewall neu gestartet und das System aktualisiert.

Situation B - Nach dem Neustart können Sie UDP500 blockieren, aber die Firmware nicht aktualisieren

Bitte folgen Sie: Diese Lösung

Situation C - Sie können Ihr Gerät nicht über "HTTPS" auf Ihrem normalen Port erreichen

Prüfen Sie per Remote-LAN, ob Ihr Gerät "HTTP" auf Port 4337 als Backup verwendet.
Wenn das der Fall ist, folgen Sie bitte dem Prozess von Situation A.

Situation D - Gerät HA kann die Firmware nicht aktualisieren
Sie erhalten zum Beispiel die Fehlermeldung: "DHA2 detect passive fail"
In diesem Fall müssen Sie Device HA vor Ort neu einrichten. Es gibt keine Möglichkeit der Fernwiederherstellung.

Device HA Pro neu bereitstellen

FAQ-Abschnitt

Welche Probleme treten in meinem Netzwerk oder meiner Firewall auf, wenn ich bereits betroffen bin?

• Die GUI lässt Sie möglicherweise nicht in die Admin-Oberfläche einloggen (ZySH-Daemon ist beschäftigt)
• Bei VPN kann es zu instabilen Szenarien kommen (Traffic Passthrough oder Tunnel werden häufig mit geringerer Betriebszeit neu aufgebaut)
• Das Gerät kann neu starten, wenn der Watchdog den Daemon zu oft wiederhergestellt hat
• Geräte zeigen eine hohe CPU-Auslastung (90% oder höher)
• Sehr alte Firmware: HTTPS Port funktioniert nicht
• Sehr alte Firmware: Das Gerät kann die Firmware nicht aktualisieren

Welche Firmware-Version brauche ich, um sicher zu sein?

• Bitte installieren Sie die neueste Firmware 5.36 Patch 2 oder unseren Hotfix in der Tabelle oben
  
  

Muss ich ein Update vor 4.73 Patch 2 oder 5.36 Patch 2 installieren, oder kann ich direkt aktualisieren?

Es spielt keine Rolle, welche Firmware-Version Sie auf Ihrem Gerät haben. Sie können direkt auf unsere neueste Version upgraden, und Sie können alle Pfadschritte aus früheren Release Notes Dokumenten ignorieren!

Was ist, wenn ich mich nicht oder nur manchmal am Gerät anmelden kann? [Schutzmaßnahmen gegen DDOS-Angriffe]

• Sie können versuchen, das Gerät zuerst neu zu starten und dann die Firmware aufzuspielen.
• Entfernen Sie den temporären Port "IKE500" von der WAN- zur ZyWALL-Gruppe (Objekt > Adresse)
• Erstellen Sie eine temporäre Firewall-Regel "WAN to ZyWALL" Service: IKE500 (UDP) > Block

Falls Sie sich vor Ort befinden, können Sie den WAN-Uplink auch vorerst entfernen und das Upgrade lokal durchführen. Sie können dies auch aus der Ferne versuchen, indem Sie sich Unterstützung holen, indem Sie den WAN-Uplink vor Ort entfernen und ein Upgrade über Teamviewer durchführen, d. h. "Hotspot vom Smartphone".

Diese Schritte sollten helfen, das Gerät zu stabilisieren und die Firmware auf eine geschützte Version zu aktualisieren.

Mein VPN ist nach dem Upgrade des Geräts immer noch instabil. Was kann ich tun?

Es ist wichtig, die Server- und Client-Sites (für Site-to-Site-VPN) zu aktualisieren. Nur wenn beide Standorte aktualisiert werden, ist der Schutz erfolgreich.

Muss ich immer noch ein Upgrade auf 5.36 Patch 2 oder 4.73 Patch 2 durchführen, wenn ich den Hotfix anwende?

Nein, die Version wird ähnlich sein, daher ist kein weiteres Upgrade erforderlich.

Ist mein von Nebula verwaltetes Gerät ebenfalls betroffen?

Ja, Updates für Nebula sind jetzt verfügbar, und die Firewall kann über das Nebula Control Center aktualisiert werden Nebula CC - Aktualisierung einer Gerätefirmware [Firmware-Verwaltung]

Ich möchte die Firmware installieren, aber der Fortschritt bleibt nach dem Upload auf 100% stehen, oder das Gerät startet nicht neu. Was kann ich tun?

Dies kann passieren, wenn Sie eine ältere Firmware-Version verwenden, z. B. 5.30, und von zuvor veröffentlichten Korrekturen für andere Probleme betroffen sind. Bitte setzen Sie sich mit dem Support in Verbindung, um weitere Unterstützung zu erhalten.

Ich habe meine Geräte aktualisiert, aber ich habe immer noch keinen VPN-Verkehr oder VPN nicht aufgebaut. Was kann ich tun?
Stellen Sie sicher, dass Sie die Regeln "WAN to ZyWALL" entfernen, um UDP500-Datenverkehr zu blockieren.

Gibt es eine andere Möglichkeit, die Firmware zu aktualisieren, wenn es nicht funktioniert?
Sie können versuchen, die Firmware über FTP zu aktualisieren. USG & Zywall - Firmware-Aktualisierung per FTP

Mein VPN-Verkehr funktioniert nicht. Ich habe eine Verbindung zur Schweiz oder zu Swisscom ISP. Woran kann das liegen?
Swisscom hat kürzlich ein Upgrade für Swisscom Router lanciert, das den VPN-Verkehr in der DMZ-Zone blockiert. Bitte setzen Sie sich mit dem Swisscom Support in Verbindung, damit das Problem behoben wird. Es handelt sich nicht um ein Zyxel-Problem. Auch ein Neustart des Swisscom Routers (2-3 mal) kann das Problem vorübergehend beheben.

Optimierung der Firewall zum Schutz der Geräte

Wir liefern viele Artikel und Sicherheitsfeatures, wie Sie Ihr Gerät immer up2date halten können und einen optimalen Firewall-Schutz haben.

[BEST PRACTICE] Firewall-Wartung, Konfigurationsschutz und CVE-Angriffsabwehr

Wenn Sie in Zukunft Fragen haben, kommentieren Sie einfach diesen Artikel, und wir werden uns in Kürze mit Ihnen in Verbindung setzen.
Oder nehmen Sie Kontakt mit dem Support-Team auf!