Wichtiger Hinweis: |
Aktualisiert: 6. Juli 2021 / 9 Uhr MEZ
(Folgen Sie diesem Artikel, um weitere Updates zu erhalten, klicken Sie auf den "Follow Button", um eine E-Mail zu erhalten, wenn dieser Artikel ein Update erhält!)
Zyxel hat die jüngsten Aktivitäten von Bedrohungsakteuren, die es auf Zyxel Security Appliances abgesehen haben, verfolgt und Firmware-Patches zur Abwehr dieser Angriffe veröffentlicht. Updates jetzt verfügbar! Benutzern wird empfohlen, die Patches zu installieren, um sich optimal zu schützen.
Nach unseren Untersuchungen versuchen die Bedrohungsakteure, über das WAN auf ein Gerät zuzugreifen. Ist dies erfolgreich, versuchen sie, sich mit gestohlenen, gültigen Anmeldedaten anzumelden oder die Authentifizierung zu umgehen und SSL-VPN-Tunnel mit bestehenden oder neu erstellten Benutzerkonten wie "zyxel_sllvpn", "zyxel_ts" oder "zyxel_vpn_test" aufzubauen, um die Konfiguration der Geräte zu manipulieren.
Zyxel hat mit externen Sicherheitsforschern zusammengearbeitet, um die Aktivitäten der Bedrohungsakteure zu verfolgen. Unsere Untersuchungen haben ergeben, dass sie eine Kombination aus verschiedenen Angriffsvektoren nutzen könnten, darunter:
- Gültige Benutzeranmeldeinformationen, die sie zuvor aus der Überwindung früherer bekannter Schwachstellen, möglicherweise CVE-2020-29583 oder CVE-2020-9054, erlangt hatten, wurden im März und Dezember 2020 vollständig behoben. Wir haben beobachtet, dass sich die Bedrohungsakteure mit legitimen benutzerdefinierten Anmeldedaten mit Administratorrechten angemeldet und in einigen Fällen auch neue Administratorkonten erstellt haben.
- Eine neu aufgedeckte Sicherheitslücke zur Umgehung der Authentifizierung, die als CVE-2021-35029 verfolgt wird, sterilisiert Eingabestrings nicht ordnungsgemäß und könnte es einem Angreifer ermöglichen, Zugang zu erhalten.
Betroffene Produkte:
VPN, ZyWALL, USG, ATP, USG FLEX Series im On-Premise-Modus mit aktiviertem Remote-Management oder SSL-VPN sind anfällig.
Produkte, die im Nebula-Cloud-Management-Modus laufen, sind NICHT betroffen.
Wie finden Sie heraus, ob Ihre Firewall betroffen ist?
Betroffene Firmware-Version:
ZLD V4.35 bis ZLD 5.01
(Benutzer von Datumscodes und Wochenversionen folgen bitte dem Mitigation SOP) Wir arbeiten an einer wöchentlichen Version, die diese Fehlerbehebungen enthält und werden sie so bald wie möglich separat veröffentlichen.
Zyxel hat Standard-Firmware-Patches veröffentlicht, die die endgültige Lösung der Probleme für die betroffenen Modelle darstellen, wie in der Tabelle unten aufgeführt. Die Patches enthalten auch zusätzliche Sicherheitsverbesserungen, die auf dem Feedback von Benutzern und den Empfehlungen von Sicherheitsforschern basieren. Wir empfehlen Benutzern dringend, diese sofort zu installieren, um ihr Netzwerk optimal zu schützen.
Vielen Dank an das Spike Reply Cyber Security Team für die Zusammenarbeit bei der Untersuchung und Behebung dieses Problems.
Firmware-Patches
(Sie können den Online-Firmware-Update-Service als schnellste Möglichkeit zur Aktualisierung der Firmware nutzen)
So aktualisieren Sie USG-Geräte über den Cloud-Service
Modell |
ZLD5.02 (Patch 0) 4. Juli 2021 |
Alle Geräte / Alle Updates in einem Paket | Herunterladen |
USG FLEX 100 | Herunterladen |
USG FLEX 100W | Herunterladen |
USG FLEX 200 | Herunterladen |
USG FLEX 500 | Herunterladen |
USG FLEX 700 | Herunterladen |
ATP100 | Herunterladen |
ATP100W | Herunterladen |
ATP200 | Herunterladen |
ATP500 | Herunterladen |
ATP700 | Herunterladen |
ATP800 | Herunterladen |
USG20-VPN | Herunterladen |
USG20W-VPN | Herunterladen |
USG40 | Herunterladen |
USG40W | Herunterladen |
USG60 | Herunterladen |
USG60W | Herunterladen |
USG110 | Herunterladen |
USG210 | Herunterladen |
USG310 | Herunterladen |
USG1100 | Herunterladen |
USG1900 | Herunterladen |
USG2200 | Herunterladen |
ZyWALL110 | Herunterladen |
ZyWALL310 | Herunterladen |
ZyWALL1100 | Herunterladen |
VPN50 | Herunterladen |
VPN100 | Herunterladen |
VPN300 | Herunterladen |
VPN1000 | Herunterladen |
Versionshinweise und Anleitungsschritte:
- CVE-2021-35029
Behebung einer Sicherheitslücke in der webbasierten Verwaltungsoberfläche der Zyxel USG/ZyWALL, USG FLEX, ATP und VPN-Serie
- Verbesserung der Zwei-Faktoren-Authentifizierung
Unterstützt konfigurierbaren 2FA-Service-Port.
[Objekt -> Auth. Methode -> Zwei-Faktoren-Authentifizierung -> Autorisierter Port
- Verbesserung der Sicherheitsüberprüfung
Deaktiviert den HTTP-Port automatisch, während die WAN-Verwaltung im Sicherheits
Assistenten.
- Kennwortänderungserinnerung
Erinnert privilegierte Konten daran, ihre Passwörter aus Sicherheitsgründen zu ändern.
- Überprüfung der Sicherheitsrichtlinien
Zeigt Fehlkonfigurationen von Sicherheitsrichtlinien durch eine Pop-up-Benachrichtigung an, zusammen mit der Firmware-Aktualisierung und der Erinnerung an die Passwortänderung.
Der Sicherheitscheck wird angezeigt, nachdem die Firmware-Aktualisierung abgeschlossen ist und sich der Administrator am Gerät angemeldet hat.
Vorschau Beispiel eines ausgefüllten Sicherheitschecks für die Webschnittstelle
Der WAN-Zugang sollte zu Ihrer Firmen-WAN-IP / Admin only access IP gehören.
Das SSL VPN sollte zu der freien GEO IP Funktion gehören, d.h. Deutschland und Österreich. Wenn dies der Bereich ist, werden sich Ihre SSL-VPN-Mitarbeiter am Gerät anmelden. Nachdem Sie diesen Sicherheitscheck erstellt haben, können Sie weitere IPs oder Länder über die Firewall-Einstellungen hinzufügen.
Es wird empfohlen, den "SSL VPN Port" von dem "WAN Port für Admin Login" zu trennen, da die VPN-Mitarbeiter z.B. Port 8443 für den Login mit SSL VPN verwenden können, während der Admin Login-Zugang vollständig eingeschränkt ist.
Wenn Sie sich bei diesem Schritt unsicher sind, klicken Sie auf "Abbrechen" und folgen Sie den Schritten zur Abhilfe weiter unten in diesem Artikel.
- Protokollverbesserung
Bietet einen Protokollverlauf, wenn das Benutzerobjekt geändert wurde.
Sie können anhand der Kategorie "Benutzer" und des Syslog-Servers oder einer E-Mail-Benachrichtigung erkennen, wenn sich ein Benutzer an Ihrem Gerät an- oder abgemeldet hat oder ein Administrator-Benutzer erstellt oder gelöscht wurde. Einrichten einesSyslog-Server-Eintrags auf einem USG.
Weitere Erweiterungen:
- Erweiterungen des Ersteinrichtungsassistenten
Unterstützt Benutzer bei der Durchsetzung von Sicherheitsrichtlinien gegen den Zugriff auf die Webverwaltungsschnittstelle und den SSL-VPN-Dienst aus dem Internet.
- Konfigurierbarer SSL-VPN- und WAN-Zugang
Getrennte Zugriffsoptionen auf SSL VPN- und WAN-Zugangsdienste.
So verwenden Sie SSL VPN auf einem anderen Port als die Web-GUI
- GeoIP ist jetzt ein kostenloses Feature.
Integrierte GeoIP-Funktion zur Verbesserung des Sicherheitszugangs, die jetzt kostenlos für die gesamte Firewall-Reihe verfügbar ist.
So verwenden Sie die GeoIP-Funktion
Wie finden Sie heraus, ob Ihre Firewall betroffen ist?
Die folgenden Verhaltensweisen können ein möglicher Grund dafür sein, dass Sie betroffen sind:
- VPN-Probleme
- Routing-Problem
- Verkehrsproblem
- Unbekannte Konfigurationsparameter
- Zusätzliche Admin-Erstellung
Eine oder mehrere Konfigurationsänderungen werden angezeigt, wenn Ihr Gerät betroffen ist:
-
Unbekannte Administratorkonten erstellt
[Konfiguration -> Objekt -> Benutzer-/Gruppeneinstellung]
Abhilfemaßnahme: Löschen Sie alle unbekannten Admin- und Benutzerkonten
Die Erstellung von Benutzer- und Administratorkonten steht ganz unten (das letzte in der Liste). Ein paar Beispiele könnten sein:
(manage, zyxel_sllvpn, sslvpn_index, zyxel_ts, etc...) andere / neue unbekannte könnte auch passieren.
Die Konten befinden sich in der Regel auf der unteren / letzten Seite der Kontenliste.
-
Unbekannte Policy Route erstellt
[Konfiguration -> Routing -> Policy Route]
Abhilfe: Policy Route 1 löschen, wenn die Bedingungen zutreffen
Der Bildschirm "Policy Route" zeigt normalerweise an Position 1 eine unbekannte Policy Route an.
Beispiel:
LAN1_Subnetz -> nach beliebig -> Next-Hop -> AUTO
Beispiel 2:
LAN1_Subnetz -> nach beliebig -> Next-Hop -> VPN Tunnel
-
Unbekannte Sicherheitsrichtlinie / Firewall-Regel erstellt
[Konfiguration -> Sicherheitsrichtlinie]
Abhilfe: Löschen Sie die Firewall-Regel, die in der Beschreibung "loseang" anzeigt.
Eine neu erstellte Firewall-Regel wird angezeigt, mit der Beschreibung "loseang" und normalerweise dem Weg "WAN to ZyWALL".
-
Unbekannte SSL VPN-Einrichtung
[Konfiguration -> SSL VPN]
Abhilfe: Löschen Sie die "SSL VPN"-Einrichtungsgruppe / den Benutzer
Normalerweise wird ein Benutzer mit dem Namen "zyxel_ts" oder "zyxel_sllvpn" oder "sslvpn_index" oder "zyxel_vpn_test" erstellt, oder dies ist der Name der SSL VPN-Einrichtung.
Was können Sie tun, wenn Sie die oben genannten Punkte auf Ihrem Gerät gefunden haben?
1) Reparieren Sie das Gerät: (unser Support Team bietet auch Remote Sessions via Teamviewer an, um Sie zu unterstützen)
- Aktion beheben: Löschen Sie alle unbekannten Admin- und Benutzerkonten
- Aktion beheben: Policy Route 1 löschen, wenn die Bedingungen zutreffen
- Aktion beheben: Löschen der Firewall-Regel, die in der Beschreibung "loseang" anzeigt
- Behobene Aktion: Löschen Sie die Einrichtungsgruppe / den Benutzer "SSL VPN".
2) Schützen Sie dieses Gerät mit den folgenden Änderungen und aktualisieren Sie auf die neueste Firmware-Version a
. Alle Schutzänderungen sind in dieser Videodatei zusammengefasst:
a) Überprüfen Sie die Firewall-Konfiguration (obligatorisch)
- Lassen Sie nur Quell-IPs zu, die für die ZyWALL Zone Setup Assistancezugelassen sind .
- Schützen Sie dies mit der Funktion GEO IP Country (GEO-IP-Länder) von Ihrem Standort Setup Assistance
- Stellen Sie sicher, dass alle anderen nicht vertrauenswürdigen Verbindungen vom WAN zur ZyWALL in einer "Deny"-Regel an einer niedrigeren Position als die "Allow"-Regeln eingerichtet werden.
b) Port-Änderungen (vorschlagen)
[Seien Sie vorsichtig - ändern Sie also zuerst die Firewall, und wenn Sie sich selbst per SSL-VPN verbinden, wird sie Sie wieder verbinden, blockieren Sie sich nicht selbst]
- Ändern Sie den Port von HTTPS auf einen anderen Port. Unterstützung bei der Einrichtung
- Ändern Sie den Port für SSL VPN auf einen anderen Port, der sich nicht mit dem HTTPS GUI Port überschneidet
(Funktion des ZLD 5.0) Unterstützung bei der Einrichtung
c) Passwortänderungen (obligatorisch)
- Ändern Sie das Admin-Passwort
d) 2-Faktor Login einrichten (optional) Einrichtungshilfe
Wenn Sie über weitere Sicherheitsvorfälle benachrichtigt werden möchten, folgen Sie bitte diesem Artikel , um Benachrichtigungen darüber zu erhalten.
Wenn Sie weitere Fragen oder Bedenken bezüglich Ihrer Netzwerksicherheit haben, zögern Sie nicht, sich mit unserem Support-Team in Verbindung zu setzen oder kontaktieren Sie Ihren lokalen Vertriebsmitarbeiter - er wird Ihnen gerne weiterhelfen.