Aviz important: |
-------------------------------------------------------------------------------------------------------------------
Zyxel vă ajută să vă protejați Rețeaua și să vă întrețineți Firewall-ul!
Consultați acest articol pentru a citi toate informațiile TechTalk Insights:
[BEST PRACTICE] Întreținerea Firewall-ului, protecția configurației și atenuarea atacurilor CVE
-------------------------------------------------------------------------------------------------------------------Probleme comunecu actualizarea și pașii de recuperare
Secțiunea FAQ a celor mai frecvente întrebări
Optimizarea Firewall-ului pentru a proteja dispozitivele
Am fost notificați cu privire la mai multe probleme legate de conexiunea VPN și întreruperi de rețea care ne-au fost raportate în prezent. Ca răspuns la această problemă, am accelerat dezvoltarea unui firmware hotfix urgent, disponibil începând cu 5/23 și aplicabil tuturor modelelor, care are ca scop rezolvarea și remedierea promptă a situației. Începând cu 5/24, Zyxel a lansat patch-uri oficiale pentru firewall-urile afectate de multiple vulnerabilități de tip buffer overflow. Utilizatorii sunt sfătuiți să le instaleze pentru o protecție optimă.
Consultați CVE pe pagina noastră web globală
CVE-2023-33009
O vulnerabilitate de tip buffer overflow în funcția de notificare din unele versiuni de firewall ar putea permite unui atacator neautentificat să provoace condiții de refuz de serviciu (DoS) și chiar o execuție de cod de la distanță pe un dispozitiv afectat.
CVE-2023-33010
În unele versiuni de firewall, o vulnerabilitate de tip buffer overflow în funcția de procesare a ID-urilor ar putea permite unui atacator neautentificat să provoace condiții DoS și chiar o execuție de cod de la distanță pe un dispozitiv afectat.
Recunoaștere
Mulțumim următoarelor firme de consultanță în domeniul securității:
- Lays și atdog de la TRAPA Security, urmați de
- STAR Labs SG
Aveți nevoie deun pachet complet pentru toate modelele?
Descărcați aici pentru toate dispozitivele într-un singur pas! (3GB)
De asemenea, puteți utiliza Cloud Firmware upgrade și instalați 5.36 Patch 2 sau 4.73 Patch 2 în loc de versiunea hotfix! Cum să actualizați dispozitivele USG prin intermediul serviciului cloud
[Hotfix și Patch 2 sunt similare. Dacă vă aflați pe una dintre ele, nu este nevoie să faceți upgrade la versiunea oficială. Puteți face upgrade la următoarea versiune de firmware 5.37, în iulie 2023 (fluxul normal de lansare)
| Model | Firmware Hotfix |
| Dispozitive vechi (bazate pe 4.73 Patch 1+include toate cele mai recente remedieri săptămânale) 4.73 Patch 2 este similar și poate fi, de asemenea, utilizat (Actualizare firmware online sau Descărcare de pe MyZyxel.com) |
|
| USG40 | Descărcați Hotfix |
| USG40W | Descărcați Hotfix |
| USG60 | Descărcați Hotfix |
| USG60W | Descărcați Hotfix |
| USG110 | Descărcați Hotfix |
| USG210 | Descărcați Hotfix |
| USG310 | Descărcați Hotfix |
| USG1100 | Descărcați Hotfix |
| USG1900 | Descărcați Hotfix |
| USG2200 | Descărcați Hotfix |
| ZyWALL110 | Descărcați Hotfix |
| ZyWALL310 | Descărcați Hotfix |
| ZyWALL1100 | Descărcați Hotfix |
|
Dispozitive On-Premise (bazate pe 5.36 Patch 1+include toate cele mai recente remedieri săptămânale) 5.36 Patch 2 este similar și poate fi, de asemenea, utilizat (Actualizare firmware online sau Descărcare de pe MyZyxel.com) |
|
| USG FLEX 50 / USG20-VPN | Descărcați Hotfix |
| USG FLEX 50W / USG20W-VPN | Descărcați Hotfix |
| USG FLEX 100 | Descărcați Hotfix |
| USG FLEX 100W | Descărcați Hotfix |
| USG FLEX 200 | Descărcați Hotfix |
| USG FLEX 500 | Descărcați Hotfix |
| USG FLEX 700 | Descărcați Hotfix |
| VPN50 | Descărcați Hotfix |
| VPN100 | Descărcați Hotfix |
| VPN300 | Descărcați Hotfix |
| VPN1000 | Descărcați Hotfix |
| ATP100 | Descărcați Hotfix |
| ATP100W | Descărcați Hotfix |
| ATP200 | Descărcați Hotfix |
| ATP500 | Descărcați Hotfix |
| ATP700 | Descărcați Hotfix |
| ATP800 | Descărcați Hotfix |
| Dispozitivele EOL Legacy (3.30) nu sunt afectate | |
Probleme în curs de rezolvare și modalități de rezolvare
Firmware 4.73 Patch 0 sau superior și 5.32 Patch 0 sau superior:
Dispozitivul ar trebui să poată fi actualizat direct la 4.73 Patch 2 sau 5.36 Patch 2. Nu este necesară nicio altă acțiune. (On-Premise și Nebula Cloud)
!! Firmware 4.72 Patch 0 sau anterior și 5.32 Patch 0 sau anterior: (On-Premise) !!!
[Este posibil ca firewall-urile învechite de mult timp să nu poată fi actualizate la protecția actuală].
Simptome:
Dispozitivul încarcă firmware-ul, dar nu declanșează o repornire
Dispozitivul este blocat pe ecranul 100% în timpul încărcării
Dispozitivul nu poate fi actualizat la 4.73 Patch 2 sau 5.36 Patch 2 folosind Cloud sau încărcarea manuală
Soluție:
Faceți o copie de rezervă a fișierului startup-config.conf din partiția RUNNING
Navigați la Maintenance -> File Manager -> Configuration File -> Configuration -> Configuration
Selectați "startup-config.conf" și apăsați "Download" (Descărcare)
Reboot to Standby Partition [CONFIG LOST] (Reporniți pe partiția de așteptare)
Config va fi poate system-default.conf aici sau alte fișiere de configurare mai vechi! WAN / Remote ar putea fi pierdute!
[Acest lucru va permite actualizări la partiția "PREVIOUS RUNNING"]
Firmware-ul va fi May Base (4.29) și Browser Issue, preferați să folosiți Chrome, încercați să săriți peste Wizard și încărcați manual Patch 2 firmware.
Acest lucru va suprascrie configurația din timpul rulării, dacă nu aveți o copie de rezervă, toată configurația originală va fi eliminată.
Configurația partiției Stand-by va fi acum încărcată și este posibil să pierdeți accesul la firewall după repornire. Dacă nu aveți parola de administrator, trebuie să resetați firewall-ul ținând apăsat butonul RESET timp de 15 secunde și să aplicați configurația de rezervă după resetare.
Așteptați ca firewall-ul să pornească partiția de așteptare
Aplicați configurația de rezervă pe partiția de funcționare
Conectați-vă din nou la firewall. Puteți utiliza cmd (ipconfig) de pe PC sau puteți descărca Advanced IP scanner pentru a găsi IP-ul firewall-ului dumneavoastră.
Actualizați partiția Running (nr. 2 de mai jos) la firmware-ul Patch 2.
Sau puteți actualiza partiția de rezervă (#1 de mai jos), iar acesta va clona/copia fișierul de configurare din partiția Running (Funcționare) în partiția de rezervă.
Încărcați configurația de rezervă pe partiția actualizată
Acum lăsați firewall-ul să repornească și încărcați configurația de rezervă pe care ați descărcat-o la pasul 1.
Apoi, lăsați-l să repornească și să aplice configurația.
Acum puteți actualiza și partiția stand-by la cea mai recentă versiune pentru a evita problemele viitoare.
Dacă aveți probleme, modificați fișierul de configurare de rezervă "startup-conf.conf.conf" în Notepad (sau Notepad++), eliminând rândul de firmware
Înainte:
După:
Salvați fișierul de configurare și încărcați-l din nou.
Ce altceva v-ar putea bloca să ajungeți la firewall?
Este posibil să fiți afectat de breșe CVE anterioare care provoacă un comportament anormal pe dispozitivul dvs. Până acum, vestea bună este că reușim să le rezolvăm pe toate. Dar trebuie să identificăm de care CVE anterior este afectat dispozitivul dvs.
Situația A - După repornire, nu reușiți să blocați "UDP500" deoarece GUI a dispărut direct
În acest caz, puteți încerca să obțineți dispozitivul printr-un Teamviewer (acces LAN) și să faceți o conexiune FTP Windows (fără instrument FTP) la IP-ul LAN. Copiați "startup-config" din folderul "conf" în folderul "standby_conf" și "drag&drop" firmware-ul Patch 2 în folderul "firmware 1". Acest lucru va reporni firewall-ul și va actualiza sistemul.
Situația B - După repornire, puteți bloca UDP500, dar nu puteți actualiza firmware-ul
Vă rugăm să urmați: Această soluție
Situația C - Nu puteți ajunge la dispozitiv prin "HTTPS" pe portul dvs. normal
Verificați prin LAN la distanță dacă dispozitivul dvs. funcționează cu "HTTP" pe baza portului 4337 ca soluție de rezervă.
În acest caz, vă rugăm să urmați procedura pentru situația A.
Situația D - Dispozitivul HA nu poate actualiza firmware-ul
De exemplu, primiți eroarea: "DHA2 detect passive fail"
În acest caz, trebuie să redistribuiți Device HA On-Site. Nu va exista nicio modalitate de recuperare de la distanță.
Redistribuirea dispozitivului HA Pro
Secțiunea Întrebări frecvente
Ce probleme apar în rețeaua mea sau în firewall dacă sunt deja afectat?
- Este posibil ca GUI să nu vă permită să vă conectați la interfața de administrare (ZySH Daemon ocupat)
- VPN-ul poate avea scenarii instabile (trafic passthrough sau Tunel se reconstruiește adesea cu un timp de funcționare mai mic)
- Dispozitivul poate reporni dacă watchdog-ul a recuperat demonul prea des
- Dispozitivele prezintă o utilizare ridicată a CPU (90% sau mai mult)
- Firmware foarte vechi: portul HTTPS nu funcționează
- Firmware foarte vechi: Dispozitivul nu poate actualiza firmware-ul
De ce versiune de firmware am nevoie pentru a fi în siguranță?
- Vă rugăm să instalați cel mai recent firmware 5.36 Patch 2 sau hotfixul nostru din tabelul de mai sus
Trebuie să instalez vreo actualizare înainte de 4.73 Patch 2 sau 5.36 Patch 2, sau pot face direct upgrade?
Nu contează ce versiune de firmware aveți pe dispozitivul dumneavoastră, puteți face direct actualizarea la cea mai recentă versiune și puteți ignora toți pașii de parcurs din documentele anterioare ale notelor de lansare!
Ce se întâmplă dacă nu pot să mă conectez la dispozitiv sau doar uneori? [Pași de protecție împotriva atacului DDOS]
- Puteți încerca să reporniți mai întâi dispozitivul, apoi să aplicați firmware-ul
- Îndepărtați portul temporar "IKE500" din WAN către grupul ZyWALL (Obiect > Adresă)
- Creați o regulă de firewall temporară "WAN to ZyWALL" Service: IKE500 (UDP) > Block
În cazul în care vă aflați la fața locului, puteți, de asemenea, să eliminați pentru moment legătura ascendentă WAN și să procedați la actualizarea la nivel local. De asemenea, puteți încerca acest lucru de la distanță, obținând asistență pentru a elimina legătura ascendentă WAN la fața locului și efectuând o actualizare prin Teamviewer, adică "Hotspot from Smartphone".
Acești pași ar trebui să ajute la stabilizarea dispozitivului și la actualizarea firmware-ului la o versiune protejată.
VPN-ul meu este în continuare instabil după ce am actualizat dispozitivul. Ce pot să fac?
Este important să actualizați site-urile Server și Client (pentru VPN Site-to-Site). Numai dacă ambele site-uri sunt actualizate, protecția va avea succes.
Mai trebuiesă fac upgrade la 5.36 Patch 2 sau 4.73 Patch 2 dacă aplic hotfixul?
Nu, versiunea va fi similară, deci nu este necesară o actualizare suplimentară.
Este afectat și dispozitivul meu gestionat de Nebula?
Da, actualizările pentru Nebula sunt disponibile acum, iar firewall-ul poate fi actualizat prin Nebula Control Center Nebula CC - Actualizarea firmware-ului unui dispozitiv [Firmware Management].
Vreau să instalez firmware-ul, dar progresul rămâne la 100% după încărcare sau dispozitivul nu repornește. Ce pot să fac?
Acest lucru se poate întâmpla dacă sunteți pe o versiune mai veche de firmware, de exemplu, 5.30, și sunteți afectat de corecțiile lansate anterior pentru alte prevenții. Vă rugăm să luați legătura cu serviciul de asistență pentru a obține asistență suplimentară.
Mi-am actualizat dispozitivele, dar tot nu am trafic VPN sau VPN nu este construit. Ce pot face?
Asigurați-vă că ați eliminat regulile "WAN to ZyWALL" pentru a bloca traficul UDP500.
Există o altă modalitate de a actualiza firmware-ul dacă nu funcționează?
Puteți încerca să actualizați Firmware-ul prin FTP. USG & Zywall - Actualizarea firmware-ului prin FTP
Traficul meu VPN nu funcționează. Am o conexiune la Elveția sau la Swisscom ISP. Ce ar putea fi?
Swisscom a lansat recent o actualizare pentru Swisscom Router care blochează traficul VPN în zona DMZ. Vă rugăm să luați legătura cu serviciul de asistență Swisscom pentru a rezolva problema. Aceasta nu este o problemă Zyxel. De asemenea, o repornire a routerului Swisscom (de 2-3 ori) ar putea să o rezolve temporar.
Optimizarea Firewall-ului pentru a proteja dispozitivele
Livrăm multe articole și caracteristici de securitate despre cum puteți să vă mențineți mereu dispozitivul up2date și să aveți o protecție optimă a firewall-ului.
[BEST PRACTICE] Întreținerea firewall-ului, protecția configurației și atenuarea atacurilor CVE
Dacă aveți întrebări viitoare, comentați acest articol și vom lua legătura cu dvs. în cel mai scurt timp.
Sau luați legătura cu echipa de asistență!