-------------------------------------------------------------------------------------------------------------------

Zyxel pomaga chronić sieć i konserwować zaporę sieciową!

Sprawdź ten artykuł, aby przeczytać wszystkie spostrzeżenia TechTalk:

[NAJLEPSZE PRAKTYKI] Konserwacja zapory sieciowej, ochrona konfiguracji i ograniczanie ataków CVE

-------------------------------------------------------------------------------------------------------------------CommonousIssues with Upgrade and Recovery Steps
Sekcja FAQ z najczęściej zadawanymi pytaniami
Optymalizacja Firewalla w celu ochrony urządzeń

Zostaliśmy powiadomieni o kilku problemach związanych z połączeniem VPN i przerwami w sieci, które zostały nam obecnie zgłoszone. W odpowiedzi na ten problem przyspieszyliśmy opracowanie pilnej poprawki firmware dostępnej od 5/23 i mającej zastosowanie do wszystkich modeli, która ma na celu rozwiązanie i szybkie naprawienie sytuacji. Od 5/24 Zyxel opublikował oficjalne poprawki dla firewalli dotkniętych wieloma lukami przepełnienia bufora. Użytkownikom zaleca się ich instalację w celu zapewnienia optymalnej ochrony.

Sprawdź CVE na naszej globalnej stronie internetowej

CVE-2023-33009

Luka przepełnienia bufora w funkcji powiadamiania w niektórych wersjach zapór sieciowych może pozwolić nieuwierzytelnionemu atakującemu na spowodowanie warunków odmowy usługi (DoS), a nawet zdalne wykonanie kodu na zagrożonym urządzeniu.

CVE-2023-33010

W niektórych wersjach zapory sieciowej luka przepełnienia bufora w funkcji przetwarzania identyfikatora może pozwolić nieuwierzytelnionemu atakującemu na wywołanie warunków DoS, a nawet zdalne wykonanie kodu na zagrożonym urządzeniu.

Podziękowania

Podziękowania dla następujących firm konsultingowych ds. bezpieczeństwa:

• Lays i atdog z TRAPA Security, a następnie
• STAR Labs SG

Potrzebujesz kompletnego pakietu dla wszystkich modeli?
Pobierz tutaj dla wszystkich urządzeń w jednym kroku! (3GB)

Możesz także użyć aktualizacji oprogramowania układowego w chmurze i zainstalować 5.36 Patch 2 lub 4.73 Patch 2 zamiast wersji hotfix! Jak zaktualizować urządzenia USG za pośrednictwem usługi w chmurze

[Hotfix i Patch 2 są podobne. Jeśli korzystasz z jednego z nich, nie musisz aktualizować oficjalnej wersji. Możesz zaktualizować następną wersję oprogramowania układowego 5.37, w lipcu 2023 r. (Normalny przepływ wersji)

Bieżące problemy i sposoby ich rozwiązywania

Oprogramowanie sprzętowe 4.73 Patch 0 lub nowsze i 5.32 Patch 0 lub nowsze:

Urządzenie powinno mieć możliwość bezpośredniej aktualizacji do wersji 4.73 Patch 2 lub 5.36 Patch 2. Nie są wymagane żadne dalsze działania. (On-Premise & Nebula Cloud)

!! Oprogramowanie sprzętowe 4.72 Patch 0 lub wcześniejsze i 5.32 Patch 0 lub wcześniejsze: (On-Premise) !!
[Zapory sieciowe, które są przestarzałe, mogą nie być w stanie zaktualizować się do bieżącej ochrony].

Objaw:
Urządzenie wgrywa firmware, ale nie uruchamia się ponownie.
Urządzenie utknęło na ekranie 100% podczas przesyłania
Urządzenie nie może zaktualizować się do wersji 4.73 Patch 2 lub 5.36 Patch 2 za pomocą chmury lub ręcznego przesyłania.

Rozwiązanie:

Kopia zapasowa startup-config.conf z partycji RUNNING

Przejdź do Maintenance -> File Manager -> Configuration File -> Configuration

Wybierz "startup-config.conf" i naciśnij "Pobierz".

Uruchom ponownie komputer do partycji Standby [CONFIG LOST] .

Konfiguracją może być system-default.conf lub inne starsze pliki konfiguracyjne! WAN / Remote może zostać utracony!

[Umożliwi to aktualizację do partycji "PREVIOUS RUNNING"].

Oprogramowanie układowe będzie w wersji May Base (4.29) i problem z przeglądarką, preferowane użycie Chrome, spróbuj pominąć kreatora i ręcznie wgrać oprogramowanie układowe Patch 2.

Spowoduje to nadpisanie konfiguracji w trybie Running, jeśli nie masz kopii zapasowej, cała oryginalna konfiguracja zostanie usunięta.

Konfiguracja partycji Stand-by zostanie teraz załadowana, a po ponownym uruchomieniu możesz utracić dostęp do firewalla. Jeśli nie masz hasła administratora, musisz zresetować zaporę, przytrzymując przycisk RESET przez 15 sekund i stosując konfigurację kopii zapasowej po resecie.

Poczekaj, aż firewall uruchomi partycję stand-by

Zastosuj kopię zapasową konfiguracji na działającej partycji

Zaloguj się ponownie do firewalla. Możesz użyć polecenia cmd (ipconfig) na komputerze lub pobrać zaawansowany skaner IP, aby znaleźć adres IP zapory.

Zaktualizuj działającą partycję (#2 poniżej) do oprogramowania układowego Patch 2.

Możesz też zaktualizować partycję stand-by (#1 poniżej), co spowoduje sklonowanie/skopiowanie pliku konfiguracyjnego z partycji Running do partycji stand-by.

Prześlij konfigurację kopii zapasowej do zaktualizowanej partycji

Teraz pozwól firewallowi uruchomić się ponownie i załaduj konfigurację kopii zapasowej pobraną w kroku 1.

Następnie pozwól mu się zrestartować i zastosuj konfigurację.

Teraz możesz zaktualizować partycję stand-by do najnowszej wersji, aby uniknąć problemów w przyszłości.

Wrazie problemów należy zmodyfikować zapasowy plik konfiguracyjny "startup-conf.conf" w Notatniku (lub Notepad++), usuwając wiersz firmware.

Przed:

Po:

Zapisz plik konfiguracyjny i prześlij go ponownie.

Co jeszcze może blokować dostęp do zapory sieciowej?

Mogą to być wcześniejsze naruszenia CVE, które powodują nieprawidłowe zachowanie urządzenia. Jak dotąd dobrą wiadomością jest to, że jesteśmy w stanie naprawić je wszystkie. Musimy jednak zidentyfikować poprzednie CVE, których dotyczy Twoje urządzenie.

Sytuacja A - Po ponownym uruchomieniu nie jesteś w stanie zablokować "UDP500", ponieważ GUI bezpośrednio zniknęło

W takim przypadku możesz spróbować uzyskać dostęp do urządzenia przez Teamviewer (dostęp do sieci LAN) i nawiązać połączenie FTP Windows (bez narzędzia FTP) z adresem IP sieci LAN. Skopiuj "startup-config" z folderu "conf" do folderu "standby_conf" i "przeciągnij i upuść" oprogramowanie układowe Patch 2 do folderu "firmware 1". Spowoduje to ponowne uruchomienie firewalla i aktualizację systemu.

Sytuacja B - Po ponownym uruchomieniu można zablokować UDP500, ale nie można zaktualizować oprogramowania układowego.

Należy postępować zgodnie z poniższymi wskazówkami: To rozwiązanie

Sytuacja C - Nie można uzyskać dostępu do urządzenia przez "HTTPS" na normalnym porcie.

Sprawdź przez zdalną sieć LAN, czy urządzenie działa "HTTP" w oparciu o port 4337 jako kopię zapasową.
Jeśli tak jest, postępuj zgodnie z procedurą w sytuacji A.

Sytuacja D - Urządzenie HA nie może zaktualizować oprogramowania układowego
Na przykład pojawia się błąd: "DHA2 detect passive fail"
W takim przypadku należy ponownie wdrożyć urządzenie HA na miejscu. Zdalne odzyskiwanie nie będzie możliwe.

Ponowne wdrożenie urządzenia HA Pro

Sekcja FAQ

Jakie problemy pojawiają się w mojej sieci lub zaporze sieciowej, jeśli jestem już dotknięty?

• Interfejs GUI może nie pozwalać na zalogowanie się do interfejsu administratora (zajęty demon ZySH).
• VPN może mieć niestabilne scenariusze (przechodzenie ruchu lub tunel często przebudowywany z krótszym czasem pracy)
• Urządzenie może się zrestartować, jeśli watchdog zbyt często odzyskiwał demona
• Urządzenia wykazują wysokie zużycie procesora (90% lub więcej)
• Bardzo stare oprogramowanie sprzętowe: port HTTPS nie działa
• Bardzo stare oprogramowanie sprzętowe: Urządzenie nie może zaktualizować oprogramowania sprzętowego

Której wersji oprogramowania sprzętowego potrzebuję, aby być bezpiecznym?

• Zainstaluj najnowsze oprogramowanie sprzętowe 5.36 Patch 2 lub nasz hotfix z powyższej tabeli.
  
  

Czy muszę zainstalować jakąkolwiek aktualizację przed 4.73 Patch 2 lub 5.36 Patch 2, czy mogę dokonać aktualizacji bezpośrednio?

Nie ma znaczenia, którą wersję oprogramowania sprzętowego masz na swoim urządzeniu, możesz bezpośrednio zaktualizować do naszej najnowszej wersji i możesz zignorować wszystkie kroki ścieżki z wcześniejszych dokumentów Release Notes!

Co zrobić, jeśli nie mogę zalogować się do urządzenia lub tylko czasami? [Kroki ochrony przed atakiem DDOS]

• Możesz spróbować najpierw zrestartować urządzenie, a następnie zastosować oprogramowanie układowe.
• Usuń tymczasowy port "IKE500" z sieci WAN do grupy ZyWALL (Obiekt > Adres)
• Utwórz tymczasową regułę zapory "WAN to ZyWALL" Service: IKE500 (UDP) > Block

Jeśli jesteś na miejscu, możesz również na razie usunąć łącze WAN i kontynuować aktualizację lokalnie. Możesz również spróbować zrobić to zdalnie, korzystając z pomocy przy usuwaniu łącza WAN na miejscu i przeprowadzając aktualizację za pośrednictwem Teamviewer, tj.

Te kroki powinny pomóc ustabilizować urządzenie i zaktualizować oprogramowanie układowe do chronionej wersji.

Moja sieć VPN jest nadal niestabilna po aktualizacji urządzenia. Co mogę zrobić?

Ważne jest, aby zaktualizować serwer i klienta (dla VPN typu Site-to-Site). Tylko jeśli obie witryny zostaną zaktualizowane, ochrona będzie skuteczna.

Czy nadal muszę zaktualizować do wersji 5.36 Patch 2 lub 4.73 Patch 2, jeśli zastosuję poprawkę hotfix?

Nie, wersja będzie podobna, więc dalsza aktualizacja nie jest konieczna.

Czy dotyczy to również mojego urządzenia zarządzanego przez Nebula?

Tak, aktualizacje dla Nebula są już dostępne, a zaporę można zaktualizować za pomocą Nebula Control Center Nebula CC - Aktualizacja oprogramowania sprzętowego urządzenia [Zarządzanie oprogramowaniem sprzętowym].

Chcę zainstalować oprogramowanie sprzętowe, ale postęp pozostaje na poziomie 100% po przesłaniu lub urządzenie nie uruchamia się ponownie. Co mogę zrobić?

Może się tak zdarzyć, jeśli korzystasz ze starszej wersji oprogramowania układowego, na przykład 5.30, i masz wpływ na wcześniej wydane poprawki dotyczące innych zabezpieczeń. Skontaktuj się z pomocą techniczną, aby uzyskać dalszą pomoc.

Zaktualizowałem swoje urządzenia, ale nadal nie mam ruchu VPN lub VPN nie został utworzony. Co mogę zrobić?
Upewnij się, że usunąłeś reguły "WAN to ZyWALL", aby zablokować ruch UDP500.

Czy istnieje inny sposób aktualizacji oprogramowania układowego, jeśli nie działa?
Możesz spróbować zaktualizować oprogramowanie układowe przez FTP. USG i Zywall - aktualizacja oprogramowania układowego przez FTP

Mój ruch VPN nie działa. Mam połączenie ze Szwajcarią lub dostawcą usług internetowych Swisscom. Co to może być?
Swisscom niedawno wprowadził aktualizację routera Swisscom blokującą ruch VPN w strefie DMZ. Skontaktuj się z pomocą techniczną Swisscom, aby to naprawić. To nie jest problem Zyxel. Ponadto ponowne uruchomienie routera Swisscom (2-3 razy) może tymczasowo naprawić ten problem.

Optymalizacja zapory sieciowej w celu ochrony urządzeń

Dostarczamy wiele artykułów i funkcji bezpieczeństwa na temat tego, jak zawsze aktualizować urządzenie i zapewnić optymalną ochronę zapory sieciowej.

[NAJLEPSZE PRAKTYKI] Konserwacja zapory sieciowej, ochrona konfiguracji i łagodzenie ataków CVE

Jeśli masz jakieś pytania, skomentuj ten artykuł, a wkrótce się z Tobą skontaktujemy.
Lub skontaktuj się z zespołem pomocy technicznej!