Belangrijke mededeling: |
-------------------------------------------------------------------------------------------------------------------
Zyxel helpt u bij het beveiligen van uw netwerk en het onderhouden van uw firewall!
Bekijk dit artikel om alle TechTalk-inzichten te lezen:
[BEST PRACTICE] Firewall-onderhoud, configuratiebescherming en CVE-aanvalmitigatie
-------------------------------------------------------------------------------------------------------------------Gemeenschappelijkeproblemen met upgrades en herstelstappen
FAQ sectie met de meest gestelde vragen
Optimalisatie van de firewall om de apparaten te beschermen
We zijn op de hoogte gesteld van verschillende problemen met VPN-verbindingen en netwerkonderbrekingen die ons op dit moment zijn gemeld. Als reactie op dit probleem hebben we de ontwikkeling versneld van een urgente hotfix-firmware die sinds 23/5 beschikbaar is en van toepassing is op alle modellen, en die bedoeld is om de situatie aan te pakken en snel te verhelpen. Sinds 5/24 heeft Zyxel officiële patches uitgebracht voor firewalls die getroffen zijn door meerdere buffer overflow kwetsbaarheden. Gebruikers wordt geadviseerd deze te installeren voor optimale bescherming.
Bekijk CVE op onze wereldwijde webpagina
CVE-2023-33009
Een kwetsbaarheid in de bufferoverloop in de meldingsfunctie in sommige firewallversies kan een niet-geauthenticeerde aanvaller in staat stellen denial-of-service (DoS)-toestanden en zelfs code-uitvoering op afstand te veroorzaken op een getroffen apparaat.
CVE-2023-33010
In sommige firewallversies kan een bufferoverloopkwetsbaarheid in de ID-verwerkingsfunctie een niet-geauthenticeerde aanvaller in staat stellen DoS-condities te veroorzaken en zelfs code op afstand uit te voeren op een getroffen apparaat.
Erkenning
Met dank aan de volgende beveiligingsadviesbureaus:
- Lays en atdog van TRAPA Security, gevolgd door
- STAR Labs SG
Wilt ueen compleet pakket voor alle modellen?
Download hier alle apparaten in één stap! (3GB)
U kunt ook Cloud Firmware-upgrade gebruiken en 5.36 Patch 2 of 4.73 Patch 2 installeren in plaats van de hotfixversie! USG-apparaten upgraden via cloudservice
[Hotfix en Patch 2 zijn vergelijkbaar. Als u een van deze versies gebruikt, hoeft u niet te upgraden met de officiële release. U kunt de volgende firmwareversie 5.37 upgraden, in juli 2023 (normale release).
| Model | Firmware Hotfix |
| Oude apparaten (4.73 Patch 1 gebaseerd + bevat alle nieuwste wekelijkse fixes) 4.73 Patch 2 is vergelijkbaar en kan ook worden gebruikt (Online Firmware Upgrade of MyZyxel.com Download) |
|
| USG40 | Hotfix downloaden |
| USG40W | Hotfix downloaden |
| USG60 | Download Hotfix |
| USG60W | Download Hotfix |
| USG110 | Download Hotfix |
| USG210 | Download Hotfix |
| USG310 | Download Hotfix |
| USG1100 | Download Hotfix |
| USG1900 | Download Hotfix |
| USG2200 | Download Hotfix |
| ZyWALL110 | Download Hotfix |
| ZyWALL310 | Download Hotfix |
| ZyWALL1100 | Hotfix downloaden |
|
Apparaten op locatie (5.36 Patch 1 gebaseerd+bevat alle nieuwste wekelijkse fixes) 5.36 Patch 2 is vergelijkbaar en kan ook worden gebruikt (Online Firmware Upgrade of MyZyxel.com Download) |
|
| USG FLEX 50 / USG20-VPN | Hotfix downloaden |
| USG FLEX 50W / USG20W-VPN | Hotfix downloaden |
| USG FLEX 100 | Download Hotfix |
| USG FLEX 100W | Download Hotfix |
| USG FLEX 200 | Download Hotfix |
| USG FLEX 500 | Download Hotfix |
| USG FLEX 700 | Download Hotfix |
| VPN50 | Download Hotfix |
| VPN100 | Download Hotfix |
| VPN300 | Download Hotfix |
| VPN1000 | Download Hotfix |
| ATP100 | Download Hotfix |
| ATP100W | Download Hotfix |
| ATP200 | Download Hotfix |
| ATP500 | Download Hotfix |
| ATP700 | Download Hotfix |
| ATP800 | Hotfix downloaden |
| EOL Legacy-apparaten (3.30) worden niet beïnvloed | |
Lopende problemen en oplossingen
Firmware 4.73 Patch 0 of hoger en 5.32 Patch 0 of hoger:
Het apparaat zou direct naar 4.73 Patch 2 of 5.36 Patch 2 moeten kunnen upgraden. Er is geen verdere actie nodig. (On-Premise & Nebula Cloud)
!! Firmware 4.72 Patch 0 of eerder en 5.32 Patch 0 of eerder: (On-Premise) !!
[Het is mogelijk dat firewalls die al lang verouderd zijn, niet kunnen updaten naar de huidige bescherming].
Symptoom:
Het apparaat uploadt firmware maar start niet opnieuw op
Het apparaat blijft hangen op het 100% scherm tijdens het uploaden
Het apparaat kan niet upgraden naar 4.73 Patch 2 of 5.36 Patch 2 met Cloud of handmatige upload
Oplossing:
Maak een back-up van startup-config.conf van de RUNNING partitie
Navigeer naar Onderhoud -> Bestandsbeheer -> Configuratiebestand -> Configuratie
Selecteer "startup-config.conf" en druk op "Download".
Herstart naar stand-by partitie [CONFIG LOST] .
De configuratie kan hier system-default.conf of andere oudere configuratiebestanden zijn! WAN / Remote kan verloren gaan!
[Dit maakt upgrades naar de "vorige actieve" partitie mogelijk.]
De firmware is mei Base (4.29) en Browser Issue, gebruik liever Chrome, probeer Wizard over te slaan en upload Patch 2 firmware handmatig.
Dit overschrijft de configuratie van de draaiende partitie, als u geen back-up hebt, wordt alle oorspronkelijke configuratie verwijderd.
De configuratie van de stand-by partitie wordt nu geladen en het kan zijn dat je na het herstarten geen toegang meer hebt tot de firewall. Als je het admin wachtwoord niet hebt, moet je de firewall RESETTEN door de RESET knop 15 seconden ingedrukt te houden en de backup configuratie toe te passen na de reset.
Wacht tot de firewall is opgestart op de stand-by partitie
Pas de back-upconfiguratie toe op de draaiende partitie
Log opnieuw in op je firewall. Je kunt cmd (ipconfig) op je PC gebruiken of de Advanced IP scanner downloaden om het IP-adres van je firewall te vinden.
Upgrade de Running partitie (#2 hieronder) naar de Patch 2 firmware.
Of u kunt de stand-by partitie upgraden (#1 hieronder), en het zal het configuratiebestand van de Running partitie naar de stand-by partitie klonen/kopiëren.
Upload de back-upconfiguratie naar de geüpgradede partitie
Laat nu de firewall opnieuw opstarten en de back-upconfiguratie uploaden die je in Stap 1 hebt gedownload.
Laat hem dan opnieuw opstarten en de configuratie toepassen.
Nu kun je de stand-by partitie ook upgraden naar de laatste versie om toekomstige problemen te voorkomen.
Als je problemen ondervindt, wijzig dan het back-up "startup-conf.conf" configuratiebestand in Notepad (of Notepad++) door de firmware rij te verwijderen.
Voor:
After:
Sla het configuratiebestand op en upload het opnieuw.
Wat zou u nog meer kunnen blokkeren om uw firewall te bereiken?
Het kan zijn dat je last hebt van eerdere CVE-inbreuken die abnormaal gedrag op je apparaat veroorzaken. Tot nu toe is het goede nieuws dat we ze allemaal kunnen repareren. Maar we moeten vaststellen door welke eerdere CVE je apparaat is getroffen.
Situatie A - Na het opnieuw opstarten kun je "UDP500" niet blokkeren omdat de GUI direct weg is.
In dit geval kun je proberen om het apparaat via Teamviewer (LAN toegang) te benaderen en een Windows FTP verbinding te maken (geen FTP tool) naar het LAN IP. Kopieer de "startup-config" van de "conf" map naar de "standby_conf" map en "drag&drop" de Patch 2 firmware naar de "firmware 1" map. Dit zal de firewall herstarten en het systeem upgraden.
Situatie B - Na het herstarten kunt u UDP500 blokkeren maar de firmware niet upgraden
Gelieve te volgen: Deze oplossing
Situatie C - Je kunt je apparaat niet bereiken via "HTTPS" op je normale poort
Controleer via LAN op afstand of uw apparaat "HTTP" werkt op basis van poort 4337 als back-up.
Als dat het geval is, volg dan het proces van Situatie A.
Situatie D - Apparaat HA kan firmware niet upgraden
Je krijgt bijvoorbeeld de foutmelding: "DHA2 detecteert passieve fout".
In dit geval moet je Device HA on-site herinstalleren. Er is geen herstelmogelijkheid op afstand.
Device HA Pro opnieuw installeren
FAQ sectie
Welke problemen verschijnen er in mijn netwerk of firewall als ik al getroffen ben?
- De GUI laat je mogelijk niet inloggen op de beheerinterface (ZySH Daemon bezig)
- VPN kan onstabiele scenario's hebben (verkeer passthrough of Tunnel vaak opnieuw opbouwen met minder uptime)
- Het apparaat kan herstarten als de watchdog de daemon te vaak herstelt
- Apparaten vertonen hoog CPU-gebruik (90% of hoger)
- Zeer oude firmware: HTTPS-poort werkt niet
- Zeer oude firmware: Het apparaat kan de firmware niet upgraden
Welke firmwareversie heb ik nodig om veilig te zijn?
- Installeer de nieuwste firmware 5.36 Patch 2 of onze hotfix in de bovenstaande tabel.
Moet ik een update installeren voor 4.73 Patch 2 of 5.36 Patch 2, of kan ik direct upgraden?
Het maakt niet uit welke firmwareversie je op je apparaat hebt, je kunt direct upgraden naar onze nieuwste release en je kunt alle padstappen uit eerdere Release Notes documenten negeren!
Wat als ik niet of soms niet kan inloggen op het apparaat? [Beschermingsstappen tegen DDOS-aanval].
- U kunt eerst proberen het apparaat opnieuw op te starten en daarna de firmware toe te passen.
- Verwijder tijdelijke poort "IKE500" van WAN naar ZyWALL groep (Object > Adres)
- Maak een tijdelijke firewallregel "WAN to ZyWALL" Service: IKE500 (UDP) > Blokkeer
Als u ter plaatse bent, kunt u ook de WAN uplink voorlopig verwijderen en de upgrade lokaal uitvoeren. U kunt dit ook op afstand proberen door assistentie te vragen bij het verwijderen van de WAN uplink ter plaatse en een upgrade uit te voeren via Teamviewer, d.w.z. "Hotspot vanaf smartphone".
Deze stappen zouden moeten helpen om het apparaat te stabiliseren en de firmware te upgraden naar een beveiligde versie.
Mijn VPN is nog steeds instabiel nadat ik het apparaat heb geüpgraded. Wat kan ik doen?
Het is belangrijk om de server- en clientsites (voor Site-to-Site VPN) te upgraden. Alleen als beide sites zijn geüpgraded zal de bescherming succesvol zijn.
Moet ik nog steeds upgraden naar 5.36 Patch 2 of 4.73 Patch 2 als ik de hotfix toepas?
Nee, de versie zal vergelijkbaar zijn, dus er is geen verdere upgrade nodig.
Wordt mijn Nebula beheerde apparaat ook beïnvloed?
Ja, updates voor Nebula zijn nu beschikbaar, en de firewall kan worden bijgewerkt via Nebula Control Center Nebula CC - Een apparaat firmware upgraden [Firmware Management].
Ik wil de firmware installeren, maar de voortgang blijft op 100% staan na het uploaden, of het apparaat start niet opnieuw op. Wat kan ik doen?
Dit kan gebeuren als u een oudere firmwareversie gebruikt, bijvoorbeeld 5.30, en u last hebt van eerder uitgebrachte fixes voor andere problemen. Neem contact op met Support voor verdere hulp.
Ik heb mijn apparaten geüpgraded, maar ik heb nog steeds geen VPN-verkeer of VPN niet opgebouwd. Wat kan ik doen?
Zorg ervoor dat u de regels "WAN to ZyWALL" verwijdert om UDP500-verkeer te blokkeren.
Is er een andere manier om Firmware te upgraden als het niet werkt?
U kunt proberen Firmware te upgraden via FTP. USG & Zywall - Firmware update via FTP
Mijn VPN werkt niet. Ik heb een verbinding met Zwitserland of Swisscom ISP. Wat zou het kunnen zijn?
Swisscom heeft onlangs een upgrade gelanceerd voor Swisscom Router die VPN-verkeer in de DMZ-zone blokkeert. Neem contact op met Swisscom Support om dit probleem op te lossen. Dit is geen probleem van Zyxel. Een herstart van de Swisscom Router (2-3 keer) kan het probleem tijdelijk verhelpen.
Optimalisatie van firewall om apparaten te beschermen
We leveren veel artikelen en beveiligingsfuncties over hoe u uw apparaat altijd up2date kunt houden en een optimale firewallbescherming kunt hebben.
[BEST PRACTICE] Firewallonderhoud, configuratiebescherming en CVE-aanvalmitigatie
Als u in de toekomst nog vragen hebt, plaats dan een reactie op dit artikel en we nemen binnenkort contact met u op.
Of neem contact op met het Support Team!
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.