Urgent ! Avis de sécurité - Mise à jour du micrologiciel conseillée pour une protection optimale et problèmes de stabilité du VPN et de l'interface graphique

Lire l'article
Français Български Čeština Dansk Deutsch English Español Suomi Magyar Italiano Nederlands Norsk Polski Română Русский Slovenčina svenska Türkçe

Avis de sécurité de Zyxel concernant de multiples vulnérabilités de pare-feu par débordement de mémoire tampon - Problèmes instables de connexion VPN et de connexion à l'interface Web Avis de sécurité icon

Avatar
  • Mise à jour
Retour au sommet

Tärkeä huomautus:
Hyvät asiakkaat, huomioikaa, että käytämme konekäännöstä tarjotaksemme artikkeleita paikallisella kielelläsi. Kaikkea tekstiä ei välttämättä voida kääntää tarkasti. Jos käännetyssä versiossa on kysymyksiä tai ristiriitaisuuksia tietojen oikeellisuudesta, tutustu alkuperäiseen artikkeliin täällä: Alkuperäinen versio.

-------------------------------------------------------------------------------------------------------------------

Zyxel auttaa sinua suojaamaan verkkoasi ja ylläpitämään palomuuriasi!

Lue tästä artikkelista kaikki TechTalk Insights:

[BEST PRACTICE] Palomuurin ylläpito, konfigurointisuojaus ja CVE-hyökkäysten lieventäminen.

-------------------------------------------------------------------------------------------------------------------


Yleiset ongelmat päivitys- ja palautusvaiheissa

Useimmin kysyttyjä kysymyksiä sisältävä FAQ-osio

Palomuurin optimointi laitteiden suojaamiseksi.

Meille on tällä hetkellä ilmoitettu useista VPN-yhteyteen liittyvistä ongelmista ja verkkokatkoksista. Vastauksena tähän ongelmaan olemme nopeuttaneet 23.5. alkaen saatavilla olevan ja kaikkiin malleihin sovellettavan kiireellisen hotfix-firmware-ohjelmiston kehittämistä, jonka tarkoituksena on puuttua tilanteeseen ja korjata se nopeasti. Zyxel on julkaissut 24.5. lähtien virallisia korjauksia palomuureihin, joissa on useita puskurin ylivuotohaavoittuvuuksia. Käyttäjiä kehotetaan asentamaan ne optimaalisen suojan varmistamiseksi.

Tutustu CVE:hen maailmanlaajuisella verkkosivustollamme.


CVE-2023-33009

Joidenkin palomuuriversioiden ilmoitustoiminnon puskurin ylivuoto-haavoittuvuus voi antaa auktorisoimattoman hyökkääjän aiheuttaa palvelunesto-olosuhteita (DoS) ja jopa koodin etätoteutuksen kyseisessä laitteessa.

CVE-2023-33010

Joissakin palomuuriversioissa ID-tunnisteiden käsittelytoiminnon puskurin ylivuoto-haavoittuvuus voi mahdollistaa sen, että tunnistamaton hyökkääjä voi aiheuttaa DoS-olosuhteita ja jopa etäkoodin suorittamisen kyseisessä laitteessa.

Kuittaus

Kiitokset seuraaville tietoturvakonsulttiyrityksille:

  • Laysille ja atdogille TRAPA Securitystä, jonka jälkeen
  • STAR Labs SG

Tarvitsetko täydellisen paketin kaikille malleille?
Lataa tästä kaikki laitteet yhdellä kertaa! (3GB)


Voit myös käyttää Cloud Firmware -päivitystä ja asentaa 5.36 Patch 2 tai 4.73 Patch 2 hotfix-version sijaan! USG-laitteiden päivittäminen pilvipalvelun kautta

[Hotfix ja Patch 2 ovat samanlaisia. Jos käytät jompaakumpaa niistä, sinun ei tarvitse päivittää virallista versiota. Voit päivittää seuraavan laiteohjelmistoversion 5.37 heinäkuussa 2023 (normaali julkaisuvirta).

Malli Firmware Hotfix
Legacy Devices (4.73 Patch 1 -pohjainen + sisältää kaikki viimeisimmät viikoittaiset korjaukset)
4.73 Patch 2 on samanlainen ja sitä voidaan myös käyttää (Online Firmware Upgrade tai MyZyxel.com Download).
USG40 Hotfixin lataaminen
USG40W Lataa hotfix
USG60 Lataa Hotfix
USG60W Lataa Hotfix
USG110 Lataa Hotfix
USG210 Lataa Hotfix
USG310 Lataa Hotfix
USG1100 Lataa Hotfix
USG1900 Lataa Hotfix
USG2200 Lataa Hotfix
ZyWALL110 Lataa Hotfix
ZyWALL310 Lataa Hotfix
ZyWALL1100 Lataa Hotfix

Paikalliset laitteet (5.36 Patch 1 perustuu + sisältää kaikki viimeisimmät viikoittaiset korjaukset)

5.36 Patch 2 on samanlainen ja sitä voidaan myös käyttää (Online Firmware Upgrade tai MyZyxel.com Download).
USG FLEX 50 / USG20-VPN Hotfixin lataaminen
USG FLEX 50W / USG20W-VPN Hotfixin lataaminen
USG FLEX 100 Lataa Hotfix
USG FLEX 100W Lataa Hotfix
USG FLEX 200 Lataa Hotfix
USG FLEX 500 Lataa Hotfix
USG FLEX 700 Lataa Hotfix
VPN50 Lataa Hotfix
VPN100 Lataa Hotfix
VPN300 Lataa Hotfix
VPN1000 Lataa Hotfix
ATP100 Lataa Hotfix
ATP100W Lataa Hotfix
ATP200 Lataa Hotfix
ATP500 Lataa Hotfix
ATP700 Lataa Hotfix
ATP800 Lataa Hotfix
EOL Legacy-laitteet (3.30) eivät vaikuta tähän.


Käynnissä olevat ongelmat ja ratkaisutavat


Firmware 4.73 Patch 0 tai uudempi ja 5.32 Patch 0 tai uudempi:

Laitteen pitäisi pystyä päivittämään suoraan 4.73 Patch 2:een tai 5.36 Patch 2:een. Muita toimenpiteitä ei tarvita. (On-Premise & Nebula Cloud)

!! Firmware 4.72 Patch 0 tai aikaisempi ja 5.32 Patch 0 tai aikaisempi: (On-Premise) !!
[Pitkään vanhentuneet palomuurit eivät välttämättä pysty päivittämään nykyistä suojausta].

Oire:
Laite lataa laiteohjelmiston, mutta se ei käynnisty uudelleen.
Laite on jumissa 100 %:n näytöllä latauksen aikana.
Laite ei voi päivittää 4.73 Patch 2:een tai 5.36 Patch 2:een pilvipalvelun tai manuaalisen latauksen avulla.


1) Ratkaisu (paikan päällä):


1a) Varmuuskopioi startup-config.conf-tiedosto RUNNING-osiosta.

Siirry kohtaan Maintenance (Ylläpito) -> File Manager (Tiedostonhallinta) -> Configuration File (Konfigurointitiedosto) -> Configuration (Konfigurointi)

Valitse "startup-config.conf" ja paina "Lataa".

1b) Käynnistä uudelleen valmiustilaosioon [CONFIG LOST] .

Config voi olla system-default.conf tässä tai muita vanhempia config-tiedostoja! WAN / Remote voi kadota!

[Tämä mahdollistaa päivitykset "PREVIOUS RUNNING" -osioon]

Laiteohjelmisto on may Base (4.29) ja selainongelma, käytä mieluummin Chromea, yritä ohittaa Wizard ja lataa Patch 2 -laiteohjelmisto manuaalisesti.

Tämä korvaa käynnissä olevan konfiguraation, jos sinulla ei ole varmuuskopiota, kaikki alkuperäinen konfiguraatio poistetaan.

Stand-by-osion konfiguraatio ladataan nyt, ja saatat menettää pääsyn palomuuriin uudelleenkäynnistyksen jälkeen. Jos sinulla ei ole järjestelmänvalvojan salasanaa, palomuuri on NOLLAUTETTAVA pitämällä RESET-painiketta painettuna 15 sekunnin ajan ja käyttämällä varmuuskopioitu konfiguraatio nollauksen jälkeen.

Odota, että palomuuri käynnistyy valmiustilaosioon.

1c) Sovelletaan konfiguraation varmuuskopiota käynnissä olevaan osioon

Kirjaudu palomuuriin uudelleen. Voit käyttää tietokoneen cmd-ohjelmaa (ipconfig) tai ladata Advanced IP scanner -ohjelman palomuurin IP-osoitteen löytämiseksi.

1d) Päivitä Running-osio (#2 alla) Patch 2 -laiteohjelmistoon.

Tai voit päivittää valmiustilaosion (#1 alla), jolloin se kloonaa/kopioi konfigurointitiedoston Running-osionista valmiustilaosioon.

e) Lataa varmuuskopioitu kokoonpano päivitettyyn osioon.

Anna palomuurin käynnistyä uudelleen ja lataa vaiheessa 1 lataamasi varmuuskopioitu kokoonpano.

Anna sen sitten käynnistyä uudelleen ja soveltaa konfiguraatiota.

Nyt voit päivittää myös valmiusosion uusimpaan versioon tulevien ongelmien välttämiseksi.

Jos sinulla on ongelmia, muokkaa varmuuskopion "startup-conf.conf"-määritystiedostoa Notepadissa (tai Notepad++:ssa) poistamalla firmware-rivi

Ennen:

After:

Tallenna konfigurointitiedosto ja lataa se uudelleen.


2) Ratkaisu (etänä):

USG / USG FLEX / ATP / VPN - Miten sallitaan HTTPS Web GUI -käyttöliittymän käyttö WANista?
Jos voit käyttää GUI:ta, lähetä HTTPS - Full Admin User -käyttäjä tukitiimille, niin autamme sinua päivittämään laitteen uusimpaan laiteohjelmistoon. Tarvitsemme HTTPS-yhteyden porttiin, jonka avaat SRC:n WAN-IP:ssä: 93.159.250.200 / SSH:ta ei tarvita. Jos et pääse GUI:hen, kokeile uudelleenkäynnistystä ja estä UDP500 WAN ZyWALLille "deny". Autamme laiteohjelmiston päivittämisessä ja palautamme kauan vanhentuneen laitteesi. Kiitos. Huomaa, että etätyökalut kuten Teamviewer ja Anydesk eivät ole toteutettavissa. Meidän on käynnistettävä laite uudelleen. Voimme tehdä sen klo 9-17 välisenä aikana; jos se ei sovi sinulle, jatka paikan päällä -opastuksella.
.

Mikä muu voi estää pääsyn palomuuriin?

Sinuun saattaa vaikuttaa aiempi CVE-loukkaus, joka aiheuttaa epänormaalia käyttäytymistä laitteessasi. Toistaiseksi hyvät uutiset ovat, että pystymme korjaamaan ne kaikki. Meidän on kuitenkin tunnistettava, mikä aiempi CVE vaikuttaa laitteeseesi.

Tilanne A - Uudelleenkäynnistyksen jälkeen et pysty estämään "UDP500":aa, koska käyttöliittymä on suoraan poissa.

Tässä tapauksessa voit yrittää päästä laitteeseen Teamviewerin avulla (LAN-yhteys) ja tehdä Windows FTP-yhteyden (ei FTP-työkalua) LAN IP:hen. Kopioi "startup-config" "conf"-kansiosta "standby_conf"-kansioon ja "vedä ja pudota" Patch 2 -firmware "firmware 1"-kansioon. Tämä käynnistää palomuurin uudelleen ja päivittää järjestelmän.

Tilanne B - Uudelleenkäynnistyksen jälkeen voit estää UDP500:n, mutta et voi päivittää laiteohjelmistoa.

Noudata seuraavia ohjeita: Tämä ratkaisu

Tilanne C - Laitetta ei voi tavoittaa HTTPS:llä normaalin portin kautta.

Tarkista etälähiverkon kautta, toimiiko laitteesi "HTTP" portin 4337 kautta varmuuskopiona.
Jos näin on, noudata tilannetta A.

Tilanne D - Laite HA ei voi päivittää laiteohjelmistoa.
Saat esimerkiksi seuraavan virheilmoituksen: "DHA2 havaitsee passiivisen vian"
Tässä tapauksessa sinun on otettava Device HA On-Site uudelleen käyttöön. Etäpalautusta ei voi tehdä.

Device HA Pro:n uudelleen käyttöönotto

FAQ-osio

Mitkä ongelmat näkyvät verkossani tai palomuurissani, jos ongelma on jo ilmennyt?

  • GUI-käyttöliittymä ei ehkä anna sinun kirjautua sisään Admin-käyttöliittymään (ZySH Daemon varattu)
  • VPN:ssä voi olla epävakaita skenaarioita (liikenteen läpivienti tai tunneli rakennetaan usein uudelleen heikommalla käytettävyydellä).
  • Laite saattaa käynnistyä uudelleen, jos watchdog palauttaa daemonin liian usein.
  • Laitteet osoittavat suurta suorittimen käyttöä (90 % tai enemmän).
  • Hyvin vanha laiteohjelmisto: HTTPS-portti ei toimi.
  • Hyvin vanha laiteohjelmisto: Laite ei voi päivittää laiteohjelmistoa


Minkä laiteohjelmistoversion tarvitsen ollakseni turvassa?

  • Asenna uusin laiteohjelmisto 5.36 Patch 2 tai yllä olevasta taulukosta löytyvä hotfixi.

Pitääkö minun asentaa jokin päivitys ennen 4.73 Patch 2:ta tai 5.36 Patch 2:ta, vai voinko päivittää suoraan?

Ei ole väliä, mikä laiteohjelmistoversio laitteessasi on, voit päivittää suoraan uusimpaan versiomme, ja voit jättää huomiotta kaikki aiempien Release Notes -asiakirjojen polkuohjeet!

Entä jos en voi kirjautua laitteeseen tai vain joskus? [Suojausvaiheet DDOS-hyökkäyksen kellottamiseksi]

  • Voit kokeilla käynnistää laitteen ensin uudelleen ja soveltaa sitten laiteohjelmiston
  • Poista väliaikainen portti "IKE500" WAN:sta ZyWALL-ryhmään (Object > Address)
  • Luo väliaikainen palomuurisääntö "WAN to ZyWALL" Service: IKE500 (UDP) > Estä

Jos olet paikan päällä, voit myös poistaa WAN-uplinkin toistaiseksi ja jatkaa päivitystä paikallisesti. Voit kokeilla tätä myös etänä hankkimalla apua WAN-uplinkin poistamiseen paikan päällä ja suorittamalla päivityksen Teamviewerin kautta, eli "Hotspot älypuhelimesta".

Näiden vaiheiden pitäisi auttaa vakauttamaan laite ja päivittämään laiteohjelmisto suojattuun versioon.


VPN-verkkoni on edelleen epävakaa sen jälkeen, kun olen päivittänyt laitteen. Mitä voin tehdä?

On tärkeää päivittää palvelin- ja asiakassivustot (Site-to-Site VPN:ssä). Vain jos molemmat sivustot päivitetään, suojaus onnistuu.

Pitääkö minun silti päivittää 5.36 Patch 2:een tai 4.73 Patch 2:een, jos otan käyttöön päivityksen?

Ei, versio on samanlainen, joten lisäpäivitystä ei tarvita.

Koskeeko tämä myös Nebula-hallittua laitettani?

Kyllä, Nebulan päivitykset ovat nyt saatavilla, ja palomuuri voidaan päivittää Nebula Control Centerin kautta Nebula CC - Laitteen laiteohjelmiston päivittäminen [Firmware Management].


Haluan asentaa laiteohjelmiston, mutta edistyminen pysyy 100 %:ssa latauksen jälkeen tai laite ei käynnisty uudelleen. Mitä voin tehdä?

Näin voi käydä, jos käytössäsi on vanhempi laiteohjelmistoversio, esimerkiksi 5.30, ja jos aiemmin julkaistut korjaukset vaikuttavat muihin ennaltaehkäisyihin. Ole yhteydessä asiakaspalveluun saadaksesi lisäapua.

Päivitin laitteeni, mutta VPN-liikennettä ei vieläkään ole tai VPN:ää ei ole rakennettu. Mitä voin tehdä?
Varmista, että poistat säännöt "WAN to ZyWALL" estääksesi UDP500-liikenteen.


Onko olemassa toinen tapa päivittää Firmware, jos se ei toimi?
Voit yrittää päivittää Firmwarea FTP:n kautta. USG & Zywall - Firmware-päivitys FTP:n kautta.

VPN-liikenteeni ei toimi. Minulla on yhteys Sveitsiin tai Swisscom ISP. Mistä se voi johtua?
Swisscom julkaisi äskettäin päivityksen Swisscom-reitittimelle, joka estää VPN-liikenteen DMZ-alueella. Ole yhteydessä Swisscomin asiakaspalveluun, jotta asia saadaan korjattua. Tämä ei ole Zyxelin ongelma. Myös Swisscom-reitittimen uudelleenkäynnistys (2-3 kertaa) voi korjata asian väliaikaisesti.


Palomuurin optimointi laitteiden suojaamiseksi

Toimitamme monia artikkeleita ja tietoturvaominaisuuksia siitä, miten voit pitää laitteesi aina up2date ja saada optimaalisen palomuurisuojauksen.

[BEST PRACTICE] Palomuurin ylläpito, konfigurointisuojaus ja CVE-hyökkäysten torjunta

Jos sinulla on kysyttävää, kommentoi tätä artikkelia, niin otamme sinuun yhteyttä pian.
Tai ota yhteyttä tukitiimiin!

Contact Us
Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 32 sur 53
Vous avez d’autres questions ? Envoyer une demande

Articles associés

Commentaires

0 commentaire

Vous devez vous connecter pour laisser un commentaire.