Aviso importante: |
-------------------------------------------------------------------------------------------------------------------
¡Zyxel le ayuda en la protección de su red y el mantenimiento de su Firewall!
Echa un vistazo a este artículo para leer todos los TechTalk Insights:
-------------------------------------------------------------------------------------------------------------------Problemas comunescon la actualización y pasos de recuperación
FAQ Sección de preguntas más frecuentes
Optimización del Firewall para proteger los dispositivos
Se nos han notificado varios problemas relacionados con la conexión VPN e interrupciones de la red. En respuesta a este problema, hemos acelerado el desarrollo de un firmware hotfix urgente disponible desde el 23/5 y aplicable a todos los modelos, que tiene por objeto abordar y rectificar rápidamente la situación. Desde el 24/5, Zyxel ha publicado parches oficiales para los cortafuegos afectados por múltiples vulnerabilidades de desbordamiento de búfer. Se recomienda a los usuarios que los instalen para una protección óptima.
Consulte CVE en nuestra página web global
CVE-2023-33009
Una vulnerabilidad de desbordamiento de búfer en la función de notificación de algunas versiones de cortafuegos podría permitir a un atacante no autenticado provocar condiciones de denegación de servicio (DoS) e incluso una ejecución remota de código en un dispositivo afectado.
CVE-2023-33010
En algunas versiones de cortafuegos, una vulnerabilidad de desbordamiento de búfer en la función de procesamiento de ID podría permitir a un atacante no autenticado provocar condiciones de denegación de servicio e incluso una ejecución remota de código en un dispositivo afectado.
Agradecimientos
Gracias a las siguientes consultorías de seguridad
- Lays y atdog de TRAPA Security, seguidos de
- STAR Labs SG
¿Necesita un paquete completo para todos los modelos?
Descárguelo aquí para todos los dispositivos en un solo paso (3GB)
¡También puede utilizar la actualización Cloud Firmware e instalar 5.36 Parche 2 o 4.73 Parche 2 en lugar de la versión hotfix! Cómo actualizar los dispositivos USG a través del servicio en la nube
[Hotfix y Patch 2 son similares. Si usted está en uno de ellos, no es necesario actualizar en la versión oficial. Puede actualizar la próxima versión de firmware 5.37, en julio de 2023 (flujo de versiones normal).
| Modelo | Firmware Hotfix |
| Legacy Devices (4.73 Patch 1 based+includes all latest Weekly fixes) 4.73 Patch 2 es similar y también se puede utilizar (Online Firmware Upgrade o MyZyxel.com Download) |
|
| USG40 | Descargar Hotfix |
| USG40W | Descargar Hotfix |
| USG60 | Descargar Hotfix |
| USG60W | Descargar Hotfix |
| USG110 | Descargar Hotfix |
| USG210 | Descargar Hotfix |
| USG310 | Descargar Hotfix |
| USG1100 | Descargar Hotfix |
| USG1900 | Descargar Hotfix |
| USG2200 | Descargar Hotfix |
| ZyWALL110 | Descargar Hotfix |
| ZyWALL310 | Descargar Hotfix |
| ZyWALL1100 | Descargar Hotfix |
|
Dispositivos Locales (5.36 Parche 1+incluye todas las últimas correcciones semanales) 5.36 Parche 2 es similar y también se puede usar (Actualización de Firmware Online o Descarga de MyZyxel.com) |
|
| USG FLEX 50 / USG20-VPN | Descargar Hotfix |
| USG FLEX 50W / USG20W-VPN | Descargar Hotfix |
| USG FLEX 100 | Descargar Hotfix |
| USG FLEX 100W | Descargar Hotfix |
| USG FLEX 200 | Descargar Hotfix |
| USG FLEX 500 | Descargar Hotfix |
| USG FLEX 700 | Descargar Hotfix |
| VPN50 | Descargar Hotfix |
| VPN100 | Descargar Hotfix |
| VPN300 | Descargar Hotfix |
| VPN1000 | Descargar Hotfix |
| ATP100 | Descargar Hotfix |
| ATP100W | Descargar Hotfix |
| ATP200 | Descargar Hotfix |
| ATP500 | Descargar Hotfix |
| ATP700 | Descargar Hotfix |
| ATP800 | Descargar Hotfix |
| Los dispositivos heredados EOL (3.30) no se ven afectados | |
Problemas en curso y formas de resolverlos
Firmware 4.73 Parche 0 o superior y 5.32 Parche 0 o superior:
El dispositivo debería poder actualizarse a 4.73 Parche 2 o 5.36 Parche 2 directamente. No es necesario realizar ninguna otra acción. (En las instalaciones y Nebula Cloud)
¡¡!! Firmware 4.72 Parche 0 o anterior y 5.32 Parche 0 o anterior: (On-Premise) !!
[Es posible que los cortafuegos obsoletos no puedan actualizarse a la protección actual].
Síntoma:
El dispositivo carga el firmware pero no se reinicia
El dispositivo se queda atascado en la pantalla al 100% en la carga
El dispositivo no puede actualizarse a 4.73 Parche 2 o 5.36 Parche 2 utilizando la nube o la carga manual.
Solución:
Copia de seguridad de startup-config.conf de la partición RUNNING
Navegue a Mantenimiento -> Administrador de Archivos -> Archivo de Configuración -> Configuración
Seleccione "startup-config.conf" y pulse "Descargar".
Reinicie en la partición de espera [CONFIG PERDIDA] .
La configuración puede ser system-default.conf u otros archivos de configuración antiguos. ¡WAN / Remoto podría perderse!
[Esto permitirá actualizaciones a la partición "PREVIOUS RUNNING".]
El firmware será may Base (4.29) y Browser Issue, prefiera usar Chrome, intente omitir el Wizard y cargue el firmware Patch 2 manualmente.
Esto sobrescribirá la configuración en Ejecución, si no tiene una copia de seguridad, se eliminará toda la configuración Original
Ahora se cargará la configuración de la partición de espera, y es posible que pierda el acceso al cortafuegos después del reinicio. Si no tiene la contraseña de administrador, debe REINICIAR el cortafuegos manteniendo pulsado el botón REINICIAR durante 15 segundos y aplicando la configuración de copia de seguridad después del reinicio.
Espere a que el cortafuegos arranque en la partición en espera.
Aplique la copia de seguridad de la configuración en la partición en ejecución
Vuelva a iniciar sesión en el cortafuegos. Puede utilizar el cmd (ipconfig) en su PC o descargar el Advanced IP scanner para encontrar la IP de su Firewall.
Actualice la partición en ejecución (#2 abajo) al firmware Parche 2.
O puede actualizar la partición en espera (#1 abajo), y clonará/copiará el archivo de configuración de la partición en ejecución a la partición en espera.
Cargue la configuración de copia de seguridad en la partición actualizada
Ahora deje que el cortafuegos se reinicie y cargue la configuración de copia de seguridad que descargó en el Paso 1.
A continuación, deje que se reinicie y aplique la configuración.
Ahora puede actualizar también la partición en espera a la última versión para evitar futuros problemas.
Si tiene problemas, modifique el archivo de configuración de copia de seguridad "startup-conf.conf" en el Bloc de notas (o Bloc de notas++) eliminando la fila de firmware
Antes:
Después:
Guarde el archivo de configuración y vuelva a cargarlo.
¿Qué más podría bloquearle el acceso a su cortafuegos?
Puede estar afectado por anteriores brechas CVE que causan un comportamiento anormal en su dispositivo. Hasta ahora la buena noticia es que somos capaces de arreglarlas todas. Pero necesitamos identificar a qué CVE anterior está afectado su dispositivo.
Situación A - Después de reiniciar, no puede bloquear "UDP500" ya que la GUI ha desaparecido directamente.
En este caso, puede intentar acceder al dispositivo mediante Teamviewer (acceso LAN) y realizar una conexión FTP de Windows (sin herramienta FTP) a la IP LAN. Copie la "startup-config" de la carpeta "conf" a la carpeta "standby_conf" y "drag&drop" el firmware Patch 2 en la carpeta "firmware 1". Esto reiniciará el cortafuegos y actualizará el sistema.
Situación B - Después de reiniciar, puede bloquear UDP500 pero no puede actualizar el firmware
Por favor, siga: Esta solución
Situación C - No puede acceder a su dispositivo por "HTTPS" en su puerto normal
Compruebe por LAN remota si su dispositivo funciona con "HTTP" basado en el puerto 4337 como respaldo.
Si ese es el caso, por favor siga el proceso de la Situación A.
Situación D - El dispositivo HA no puede actualizar el firmware
Por ejemplo, se obtiene el error "DHA2 detect passive fail"
En este caso, debe volver a desplegar el dispositivo HA in situ. No habrá forma de recuperación remota.
Redistribución de Device HA Pro
Sección de preguntas frecuentes
¿Qué problemas aparecen en mi red o cortafuegos si ya estoy afectado?
- Es posible que la interfaz gráfica de usuario no le permita iniciar sesión en la interfaz de administración (el demonio ZySH está ocupado).
- La VPN puede tener escenarios inestables (paso de tráfico o el túnel se reconstruye a menudo con menos tiempo de actividad)
- El dispositivo puede reiniciarse si el watchdog recupera el demonio con demasiada frecuencia
- Los dispositivos muestran un alto uso de CPU (90% o más)
- Firmware muy antiguo: Puerto HTTPS no funciona
- Firmware muy antiguo: El dispositivo no puede actualizar el firmware
¿Qué versión de firmware necesito para estar seguro?
- Por favor, instale el último firmware 5.36 Parche 2 o nuestro hotfix en la tabla de arriba
¿Necesito instalar alguna actualización antes de 4.73 Parche 2 o 5.36 Parche 2, o puedo actualizar directamente?
No importa qué versión de firmware tenga en su dispositivo, puede actualizar directamente a nuestra última versión, y puede ignorar todos los pasos de los documentos de Notas de la versión anteriores.
¿Qué pasa si no puedo iniciar sesión en el dispositivo o sólo a veces? [Pasos de protección contra ataques DDoS]
- Puede intentar reiniciar el dispositivo en primer lugar, a continuación, aplicar el firmware
- Elimine el puerto temporal "IKE500" de WAN al grupo ZyWALL (Objeto > Dirección)
- Cree una regla de cortafuegos temporal "WAN a ZyWALL" Servicio: IKE500 (UDP) > Bloquear
En caso de que estés in situ, también puedes quitar el enlace WAN por el momento y proceder con la actualización localmente. También puede intentarlo de forma remota solicitando ayuda para retirar el enlace ascendente de la WAN in situ y realizar una actualización a través de Teamviewer, es decir, "Hotspot desde Smartphone".
Estos pasos deberían ayudar a estabilizar el dispositivo y actualizar el firmware a una versión protegida.
Mi VPN sigue siendo inestable después de actualizar el dispositivo. ¿Qué puedo hacer?
Es importante actualizar los sitios Servidor y Cliente (para VPN de sitio a sitio). Sólo si ambos sitios están actualizados la protección tendrá éxito.
¿Todavía tengo que actualizar a 5.36 Parche 2 o 4.73 Parche 2 si aplico el hotfix?
No, la versión será similar, por lo que no es necesario actualizar.
¿Mi dispositivo gestionado por Nebula también se ve afectado?
Sí, las actualizaciones para Nebula ya están disponibles, y el cortafuegos se puede actualizar a través de Nebula Control Center Nebula CC - Actualización del firmware de un dispositivo [Gestión de firmware].
Quiero instalar el firmware, pero el progreso se queda en 100% después de la carga, o el dispositivo no se reinicia. ¿Qué puedo hacer?
Esto puede ocurrir si estás en una versión de firmware anterior, por ejemplo, 5.30, y estás afectado por correcciones publicadas anteriormente para otra prevención. Póngase en contacto con el servicio de asistencia para obtener más ayuda.
He actualizado mis dispositivos, pero todavía no tengo tráfico VPN o VPN no acumulado. ¿Qué puedo hacer?
Asegúrese de eliminar las reglas "WAN a ZyWALL" para bloquear el tráfico UDP500.
¿Hay alguna otra forma de actualizar el Firmware si no funciona?
Puedes intentar actualizar el Firmware a través de FTP. USG & Zywall - Actualización de Firmware por FTP
Mi tráfico VPN no funciona. Tengo una conexión a Suiza o Swisscom ISP. ¿Qué puede ser?
Swisscom ha lanzado recientemente una actualización para Swisscom Router que bloquea el tráfico VPN en la zona DMZ. Por favor, ponte en contacto con el soporte de Swisscom para solucionarlo. Esto no es un problema de Zyxel. Además, un reinicio del router Swisscom (2-3 veces) podría solucionarlo temporalmente.
Optimización del Firewall para proteger los dispositivos
Entregamos muchos artículos y características de seguridad sobre cómo usted puede mantener siempre su dispositivo up2date y tener una protección óptima de firewall.
[BEST PRACTICE] Firewall Maintenance, Config Protection, and CVE Attack Mitigation
Si tienes alguna pregunta en el futuro, simplemente comenta este artículo, y nos pondremos en contacto contigo en breve.
O póngase en contacto con el equipo de soporte.