Последнее обновление 8 января 17:00
Эта статья предоставит вам расширенную информацию о наших недавно опубликованных рекомендациях по безопасности:
Рекомендации Zyxel по безопасности для уязвимости системной учетной записи CVE-2020-29583
В чем проблема?
30 ноября 2020 г. компания Zyxel получила отчет о безопасности от компании EYE Netherlands, в котором в учетной записи пользователя «zyfwp» в некоторых шлюзах безопасности Zyxel и контроллерах точек доступа обнаружена уязвимость системной учетной записи. Учетная запись была предназначена для доставки автоматических обновлений микропрограммы управляемых точек доступа через FTP и никогда не была преднамеренной лазейкой.
Какие модели затронуты?
Из шлюзов безопасности затронуты только серии ATP, USG (ZyWall), USG FLEX и VPN с версией микропрограммы ZLD V4.60 (Patch 0).
Для беспроводных контроллеров затронуты только NXC2500 и NXC5500 с микропрограммой версий 6.00–6.10.
Устройства не указанных в списке НЕ затронуты. Например, шлюзы безопасности ATP, USG (Zywall), USG FLEX и VPN, использующие версии прошивки до ZLD V4.60 Patch 0, и серии VPN под управлением SD-OS НЕ затрагиваются.
Какое влияние?
Для серий ATP, USG, ZyWALL, USG FLEX и VPN с прошивкой версии 4.60 patch 0, которые были затронуты этой уязвимостью, учетная запись «zyfwp» была неправильно настроена с правами «admin», а пароль был жестко задан, что могло позволить злоумышленнику получить доступ к шлюзам с правами администратора, если злоумышленник знал учетные данные.
Учетная запись также существует в сериях ATP, USG, ZyWALL, USG FLEX и VPN с версией прошивки до V4.60 Patch 0, однако пароль НЕ является предопределенным и имеет только ограниченные привилегии для выполнения следующих действий для доставки автоматических обновлений прошивки для ТД:
- Подключитесь к встроенному FTP-серверу. Учетной записи запрещен доступ в консоль / TELNET / SSH / WWW / SNMP v3.
- После входа на FTP учетная запись может получить доступ только к каталогу “AP firmware” и НЕ МОЖЕТ переходить в другие каталоги.
Для уязвимых NXC2500 и NXC5500 с микропрограммой версий с 6.00 по 6.10 пароль был предопределен, но учетной записи были предоставлены только ограниченные привилегии для выполнения той же функции, которая описана выше в этом параграфе.
Для NXC2500 и NXC5500, использующих версии микропрограмм до 6.00, учетная запись существует, но нет жестко установленного пароля, и учетной записи предоставлены только ограниченные права.
Подводя итог, если ваши серии ATP, USG, ZyWALL, USG FLEX и VPN используют версию 4.60 patch0, пожалуйста, немедленно установите новую версию.
Исправлена ли проблема безопасности?
Что касается шлюзов, то мы приняли меры сразу же после получения отчета. В течение 3 дней мы подтвердили проблему, удалили уязвимую версию микропрограммы 4.60 Patch 0 из всех общедоступных точек загрузки и выпустили временное исправление микропрограммы версии 4.60 WK48 3 декабря 2020 года.
В течение 2 недель мы выпустили стандартное обновление прошивки 4.60 Patch 1 14 декабря 2020 г., завершили развертывание прошивки для всех затронутых моделей и уведомили затронутых пользователей шлюзов по электронной почте 18 декабря 2020 г.
Для затронутых контроллеров точек доступа микропрограмма была выпущена 7 января, поскольку привилегии учетной записи были ограничены, поэтому серьезность была ниже.
Консультировал ли Zyxel пострадавших пользователей?
Zyxel заранее уведомил затронутых пользователей шлюзов посредством нескольких уведомлений по электронной почте 18 декабря 2020 г. и 4 января 2021 г. и отправил уведомление о предупреждении в интерфейс управления затронутыми шлюзами, чтобы побудить пользователей установить исправления для оптимальной защиты.
Мы также опубликовали рекомендации по безопасности на глобальном веб-сайте и форуме Zyxel 23 декабря 2020 г. по адресу:
Официальное заявление Zyxel на веб-странице
Ожидается ли, что пользователи предпримут какие-либо действия?
Если у вас есть уязвимые модели с уязвимыми версиями микропрограммы, установите новую версию. Если у вас есть какие-либо вопросы по установке, свяжитесь с нами для получения дополнительной помощи.
Что делать, если я не могу обновить микропрограмму достаточно быстро?
Если вы не можете сразу обновить микропрограмму до последней доступной версии, выполните следующие действия, чтобы минимизировать риск. Однако лучшим решением по-прежнему является обновление до последней доступной версии.
Для шлюзов безопасности
- Если в управлении устройствами со стороны WAN нет необходимости, отключите службу FTP / TELNET / SSH / WWW / SNMPv3 из WAN. Эти службы отключены по умолчанию, поэтому вам не придется делать это, если вы не включали их в прошлом.
- Если вам все еще нужно управлять устройствами со стороны WAN, включите Контроль политик и добавьте правила, разрешающие доступ только с доверенных исходных IP-адресов.
- Мы также рекомендуем пользователям включить Контроль политик на стороне LAN и добавить правила, разрешающие только доверенные IP-адреса для лучшей защиты.
Удаленный доступ к ZyWALL (USG / UAG / VPN / ATP)
Вы также можете посмотреть наше видео по этой теме (на английском).
Watch it now! (Short Version, 4 Min)
Watch it now! (Longer Explained Version, 10 Min)
Для контроллеров точек доступа,
- Если вам не нужно выполнять автоматическое обновление микропрограмм для точек доступа через FTP, отключите службу FTP на контроллере. Контроллеры AP используют протокол CAPWAP в качестве дизайна по умолчанию для доставки таких обновлений.
- Если по-прежнему необходимо включить службу FTP, включите функции управления службами или политиками для лучшей защиты.
Где я могу найти последние рекомендации по безопасности Zyxel?
Рекомендации Zyxel по безопасности доступны по адресу
https://www.zyxel.com/support/security_advisories.shtml
В качестве альтернативы вы можете следить за нашим разделом безопасности в этом справочном центре, это также будет генерировать уведомление по электронной почте в вашей учетной записи, если наша команда что-то добавит здесь.
Zyxel Security Advisories CVE
Перейдите к этой статье и нажмите кнопку «Follow» после входа в систему.
Какое электронное письмо было отправлено затронутым клиентам?
“Zyxel security advisory for CVE-2020-29583”.
Как мне проверить, пытается ли неавторизованный пользователь получить доступ к моему устройству?
а) Войдите в свое устройство безопасности
б) Перейдите в "Monitor" -> "Log"
в) Фильтр по категории "User"
Если вы не видите пользователя с «zyfwp» или какой-либо учетной записи с успешным входом в систему, о которой вы не знаете, вы в безопасности после обновления до 4.60 Patch 1.
Обратите внимание, что журнал имеет максимально 2048 записей и может не отображать историю. В этом случае здесь может помочь только если ранее был установлен syslog сервер для категорий "User" или SecuReport Tool с логом за предыдущий срок.
Как проверить, изменил ли мою конфигурацию неавторизованный пользователь?
Вы можете проверить свою таблицу учетных записей администратора, если дополнительная учетная запись администратора не создана, нет несанкционированного доступа. Zyxel не знает о несанкционированном доступе к какому-либо продукту безопасности.
Вы также можете использовать команду SSH:
show running-config |match "admin"
Как проверить правильность установки микропрограммы?
Если вы перейдете на свое устройство в меню "Maintenance - File Manager - Firmware Management" и увидите 4.60 Patch 1 с датой сборки 2020-12-01, версия обновлена правильно.
Мы планируем продолжать обновлять эту статью новыми вопросами.
Комментарии
0 комментариев
Войдите в службу, чтобы оставить комментарий.