Avis important : |
-------------------------------------------------------------------------------------------------------------------
Zyxel vous aide à protéger votre réseau et à entretenir votre pare-feu !
Consultez cet article pour lire tous les TechTalk Insights :
-------------------------------------------------------------------------------------------------------------------Problèmes courantsliés à la mise à niveau et aux étapes de récupération
FAQ Section des questions les plus fréquemment posées
Optimisation du pare-feu pour protéger les appareils
Nous avons été informés de plusieurs problèmes liés à la connexion VPN et d'interruptions du réseau qui nous ont été signalés actuellement. En réponse à ce problème, nous avons accéléré le développement d'un hotfix firmware urgent disponible depuis le 23/5 et applicable à tous les modèles, qui a pour but de traiter et de rectifier rapidement la situation. Depuis le 24 mai, Zyxel a publié des correctifs officiels pour les pare-feux affectés par de multiples vulnérabilités de débordement de mémoire tampon. Il est conseillé aux utilisateurs de les installer pour une protection optimale.
Consultez les CVE sur notre page web mondiale
CVE-2023-33009
Une vulnérabilité de type débordement de mémoire tampon dans la fonction de notification de certaines versions de pare-feu pourrait permettre à un attaquant non authentifié de provoquer un déni de service et même une exécution de code à distance sur un appareil affecté.
CVE-2023-33010
Dans certaines versions de pare-feu, une vulnérabilité de débordement de mémoire tampon dans la fonction de traitement des identifiants pourrait permettre à un attaquant non authentifié de provoquer des conditions de déni de service et même une exécution de code à distance sur un périphérique affecté.
Remerciements
Nous remercions les sociétés de conseil en sécurité suivantes :
- Lays et atdog de TRAPA Security, suivis de
- STAR Labs SG
Vous avez besoin d'un pack complet pour tous les modèles ?
Téléchargez ici tous les appareils en une seule étape ! (3GB)
Vous pouvez également utiliser la mise à jour Cloud Firmware et installer 5.36 Patch 2 ou 4.73 Patch 2 au lieu de la version hotfix ! Comment mettre à jour les appareils USG via le service en nuage
[Les versions Hotfix et Patch 2 sont similaires. Si vous êtes sur l'un d'entre eux, vous n'avez pas besoin de mettre à jour la version officielle. Vous pouvez mettre à jour la prochaine version du firmware 5.37, en juillet 2023 (flux de publication normal).
Modèle | Correctif du micrologiciel |
Legacy Devices (4.73 Patch 1 based+includes all latest Weekly fixes) 4.73 Patch 2 est similaire et peut également être utilisé (Online Firmware Upgrade or MyZyxel.com Download) |
|
USG40 | Télécharger le correctif |
USG40W | Télécharger le correctif |
USG60 | Télécharger le correctif |
USG60W | Télécharger le correctif |
USG110 | Télécharger le correctif |
USG210 | Télécharger le correctif |
USG310 | Télécharger le correctif |
USG1100 | Télécharger le correctif |
USG1900 | Télécharger le correctif |
USG2200 | Télécharger le correctif |
ZyWALL110 | Télécharger le correctif |
ZyWALL310 | Télécharger le correctif |
ZyWALL1100 | Télécharger le correctif |
Appareils sur site (basé sur le 5.36 Patch 1+inclut tous les derniers correctifs hebdomadaires) La version 5.36 Patch 2 est similaire et peut également être utilisée (mise à jour du firmware en ligne ou téléchargement sur MyZyxel.com). |
|
USG FLEX 50 / USG20-VPN | Télécharger le correctif |
USG FLEX 50W / USG20W-VPN | Télécharger le correctif |
USG FLEX 100 | Télécharger Hotfix |
USG FLEX 100W | Télécharger le correctif |
USG FLEX 200 | Télécharger le correctif |
USG FLEX 500 | Télécharger le correctif |
USG FLEX 700 | Télécharger le correctif |
VPN50 | Télécharger le correctif |
VPN100 | Télécharger le correctif |
VPN300 | Télécharger le correctif |
VPN1000 | Télécharger le correctif |
ATP100 | Télécharger le correctif |
ATP100W | Télécharger le correctif |
ATP200 | Télécharger le correctif |
ATP500 | Télécharger le correctif |
ATP700 | Télécharger le correctif |
ATP800 | Télécharger le correctif |
Les anciens dispositifs EOL (3.30) ne sont pas concernés. |
Problèmes en cours et moyens de résolution
Firmware 4.73 Patch 0 ou supérieur et 5.32 Patch 0 ou supérieur :
L'appareil devrait pouvoir être mis à niveau vers 4.73 Patch 2 ou 5.36 Patch 2 directement. Aucune autre action n'est nécessaire. (Sur site et Nebula Cloud)
! ! Firmware 4.72 Patch 0 ou antérieur et 5.32 Patch 0 ou antérieur : (Sur site) !!
[Les pare-feu obsolètes peuvent ne pas être en mesure de mettre à jour la protection actuelle].
Symptôme :
L'appareil télécharge le micrologiciel mais ne déclenche pas de redémarrage.
L'appareil est bloqué sur l'écran 100% lors du téléchargement
L'appareil ne peut pas être mis à niveau vers 4.73 Patch 2 ou 5.36 Patch 2 en utilisant le Cloud ou le téléchargement manuel.
Solution:
Sauvegarder startup-config.conf de la partition RUNNING
Naviguer vers Maintenance -> Gestionnaire de fichiers -> Fichier de configuration -> Configuration
Sélectionnez le fichier "startup-config.conf" et appuyez sur "Download".
Redémarrer sur la partition de veille [CONFIG PERDU].
La configuration sera peut-être system-default.conf ici ou d'autres fichiers de configuration plus anciens ! WAN / Remote pourrait être perdu !
[Ceci permettra des mises à jour vers la partition "PREVIOUS RUNNING"].
Le firmware sera mai Base (4.29) et problème de navigateur, préférez utiliser Chrome, essayez de sauter l'assistant et de télécharger le firmware Patch 2 manuellement.
Cela écrasera la configuration en cours d'exécution, si vous n'avez pas de sauvegarde, toute la configuration d'origine sera supprimée.
La configuration de la partition Stand-by sera maintenant chargée, et vous pourriez perdre l'accès au firewall après le redémarrage. Si vous n'avez pas le mot de passe administrateur, vous devez réinitialiser le pare-feu en maintenant le bouton RESET enfoncé pendant 15 secondes et en appliquant la configuration de sauvegarde après la réinitialisation.
Attendez que le pare-feu démarre la partition en attente.
Appliquer la sauvegarde de la configuration sur la partition en cours d'exécution
Connectez-vous à nouveau à votre pare-feu. Vous pouvez utiliser le cmd (ipconfig) sur votre PC ou télécharger le scanner IP avancé pour trouver l'IP de votre pare-feu.
Mettez à jour la partition en cours d'exécution (#2 ci-dessous) avec le firmware Patch 2.
Vous pouvez également mettre à jour la partition de secours (#1 ci-dessous), qui clonera/copiera le fichier de configuration de la partition en cours d'exécution vers la partition de secours.
Télécharger la configuration de sauvegarde vers la partition mise à jour
Maintenant, laissez le pare-feu redémarrer et télécharger la configuration de sauvegarde que vous avez téléchargée à l'étape 1.
Ensuite, laissez-le redémarrer et appliquez la configuration.
Vous pouvez maintenant mettre à jour la partition de secours afin d'éviter tout problème futur.
Si vous avez des problèmes, modifiez le fichier de configuration de sauvegarde "startup-conf.conf" dans le Bloc-notes (ou le Bloc-notes++) en supprimant la ligne de firmware.
Avant :
Après :
Sauvegardez le fichier de configuration et téléchargez-le à nouveau.
Qu'est-ce qui pourrait encore vous empêcher d'atteindre votre pare-feu ?
Vous pouvez être affecté par des brèches CVE antérieures qui provoquent un comportement anormal sur votre appareil. Jusqu'à présent, la bonne nouvelle est que nous sommes en mesure de les corriger toutes. Mais nous devons identifier le CVE précédent qui affecte votre appareil.
Situation A - Après le redémarrage, vous ne pouvez pas bloquer "UDP500" car l'interface graphique a disparu.
Dans ce cas, vous pouvez essayer d'accéder à l'appareil à l'aide d'un Teamviewer (accès au réseau local) et d'établir une connexion FTP Windows (sans outil FTP) à l'IP du réseau local. Copiez le "startup-config" du dossier "conf" vers le dossier "standby_conf" et "drag&drop" le firmware Patch 2 dans le dossier "firmware 1". Le pare-feu redémarre et le système est mis à niveau.
Situation B - Après le redémarrage, vous pouvez bloquer UDP500 mais vous ne pouvez pas mettre à jour le microprogramme.
Veuillez suivre la procédure suivante : Cette solution
Situation C - Vous ne pouvez pas accéder à votre appareil par "HTTPS" sur votre port normal
Vérifiez par LAN distant si votre appareil fonctionne en "HTTP" sur le port 4337 en tant que sauvegarde.
Si c'est le cas, suivez la procédure de la situation A.
Situation D - L'appareil HA ne peut pas mettre à jour le micrologiciel
Par exemple, vous obtenez l'erreur suivante "DHA2 detect passive fail"
Dans ce cas, vous devez redéployer Device HA sur site. Il n'y a pas de possibilité de récupération à distance.
Redéploiement de Device HA Pro
Section FAQ
Quels sont les problèmes qui apparaissent dans mon réseau ou mon pare-feu si je suis déjà affecté ?
- L'interface graphique peut ne pas vous permettre de vous connecter à l'interface d'administration (ZySH Daemon occupé).
- Le VPN peut avoir des scénarios instables (le trafic passe à travers ou le tunnel se reconstruit souvent avec moins de temps de disponibilité).
- L'appareil peut redémarrer si le chien de garde a récupéré le démon trop souvent.
- Les appareils affichent une utilisation élevée du processeur (90 % ou plus)
- Firmware très ancien : le port HTTPS ne fonctionne pas
- Firmware très ancien : L'appareil ne peut pas mettre à jour le micrologiciel
Quelle est la version du micrologiciel dont j'ai besoin pour être en sécurité ?
- Veuillez installer la dernière version du micrologiciel 5.36 Patch 2 ou notre correctif dans le tableau ci-dessus.
Dois-je installer une mise à jour avant le 4.73 Patch 2 ou le 5.36 Patch 2, ou puis-je effectuer la mise à jour directement ?
Peu importe la version du firmware que vous avez sur votre appareil, vous pouvez mettre à jour directement vers notre dernière version, et vous pouvez ignorer toutes les étapes de cheminement des documents de notes de mise à jour précédents !
Que se passe-t-il si je ne peux pas me connecter à l'appareil ou seulement de temps en temps ? [Mesures de protection contre les attaques DDOS]
- Vous pouvez essayer de redémarrer l'appareil, puis d'appliquer le micrologiciel.
- Supprimez le port temporaire "IKE500" du WAN vers le groupe ZyWALL (Objet > Adresse)
- Créez une règle de pare-feu temporaire "WAN to ZyWALL" Service : IKE500 (UDP) > Bloquer
Si vous êtes sur site, vous pouvez également supprimer la liaison montante WAN pour le moment et procéder à la mise à niveau localement. Vous pouvez également essayer à distance en demandant de l'aide pour retirer la liaison montante WAN sur site et effectuer une mise à niveau via Teamviewer, c'est-à-dire "Hotspot à partir d'un smartphone".
Ces étapes devraient permettre de stabiliser l'appareil et de mettre à jour le micrologiciel vers une version protégée.
Mon VPN est toujours instable après la mise à niveau de l'appareil. Que dois-je faire ?
Il est important de mettre à jour les sites du serveur et du client (pour le VPN de site à site). La protection ne sera efficace que si les deux sites sont mis à niveau.
Dois-je encore mettre à jour vers 5.36 Patch 2 ou 4.73 Patch 2 si j'applique le hotfix ?
Non, la version sera similaire, donc aucune autre mise à jour n'est nécessaire.
Mon appareil géré par Nebula est-il également concerné ?
Oui, des mises à jour pour Nebula sont disponibles dès maintenant et le pare-feu peut être mis à jour via le centre de contrôle Nebula CC - Mise à jour du micrologiciel d'un appareil [Gestion du micrologiciel].
Je veux installer le firmware, mais la progression reste à 100% après le téléchargement, ou l'appareil ne redémarre pas. Que dois-je faire ?
Cela peut se produire si vous utilisez une version plus ancienne du micrologiciel, par exemple la version 5.30, et que vous êtes affecté par des correctifs précédemment publiés pour d'autres préventions. Veuillez contacter le service d'assistance pour obtenir de l'aide.
J'ai mis à jour mes appareils, mais je n'ai toujours pas de trafic VPN ou le VPN n'est pas construit. Que puis-je faire ?
Assurez-vous de supprimer les règles "WAN to ZyWALL" pour bloquer le trafic UDP500.
Existe-t-il un autre moyen de mettre à jour le firmware si cela ne fonctionne pas ?
Vous pouvez essayer de mettre à jour le firmware par FTP. USG & Zywall - Mise à jour du firmware par FTP
Mon trafic VPN ne fonctionne pas. Je suis connecté à la Suisse ou au fournisseur d'accès Swisscom. De quoi s'agit-il ?
Swisscom a récemment lancé une mise à jour pour Swisscom Router qui bloque le trafic VPN dans la zone DMZ. Veuillez contacter le support de Swisscom pour résoudre ce problème. Il ne s'agit pas d'un problème lié à Zyxel. De plus, un redémarrage du Swisscom Router (2-3 fois) pourrait temporairement résoudre le problème.
Optimisation du pare-feu pour protéger les appareils
Nous publions de nombreux articles et fonctions de sécurité sur la manière dont vous pouvez toujours maintenir votre appareil à jour et bénéficier d'une protection optimale de votre pare-feu.
[BEST PRACTICE] Maintenance du pare-feu, protection de la configuration et atténuation des attaques CVE
Si vous avez d'autres questions, commentez cet article et nous vous contacterons dans les plus brefs délais.
Ou contactez l'équipe d'assistance !
Commentaires
0 commentaire
Vous devez vous connecter pour laisser un commentaire.