Последнее обновление 1/8 - 17:00
Эта статья предоставит вам расширенную информацию о наших недавно опубликованных рекомендациях по безопасности:
Рекомендации Zyxel по безопасности для уязвимости с жестко заданными учетными данными CVE-2020-29583
В чем проблема?
30 ноября 2020 года компания Zyxel получила отчет о безопасности от EYE в Нидерландах, что в учетной записи пользователя «zyfwp» в некоторых брандмауэрах Zyxel и контроллерах точек доступа была обнаружена уязвимость с жестко заданными учетными данными. Учетная запись была разработана для доставки автоматических обновлений прошивки подключенных точек доступа через FTP, и никогда не была преднамеренной лазейкой.
Какие модели затронуты?
Только серии ATP, USG (ZyWall), USG FLEX и VPN, работающие на версии прошивки ZLD V4.60 (Patch 0), затрагиваются нашими межсетевыми экранами.
Для контроллеров AP затронуты только NXC2500 и NXC5500 с микропрограммой версий с 6.00 по 6.10.
Для тех, кто не указан в списке, они НЕ затронуты. Например, брандмауэры ATP, USG (ZyWall), USG FLEX и VPN, использующие версии прошивки до ZLD V4.60 Patch 0, и серии VPN под управлением SD-OS НЕ затрагиваются.
Какое влияние?
Для серий ATP, USG, ZyWALL, USG FLEX и VPN с прошивкой версии 4.60 с исправлением 0, подверженной данной уязвимости, учетная запись «zyfwp» была неправильно настроена с правами «администратора». Пароль был жестко запрограммирован, что могло позволить злоумышленнику получить доступ к брандмауэрам с правами администратора, если злоумышленник знает учетные данные.
Учетная запись также существует в сериях ATP, USG, ZyWALL, USG FLEX и VPN с версией прошивки до V4.60 Patch 0. Однако пароль НЕ жестко запрограммирован и имеет только ограниченные права на выполнение следующих действий для доставки автоматических обновлений прошивки для ТД:
- Подключитесь к встроенному FTP-серверу. Учетной записи НЕ разрешено входить в консоль / TELNET / SSH / WWW / SNMP v3.
- После входа на FTP учетная запись может получить доступ только к каталогу «прошивки AP» и НЕ МОЖЕТ переходить в другие каталоги.
Для затронутых NXC2500 и NXC5500 с прошивкой версий с 6.00 по 6.10 пароль был жестко закодирован, но учетной записи были предоставлены только ограниченные привилегии для выполнения той же функции, которая описана выше в этом параграфе.
Для NXC2500 и NXC5500 с версиями микропрограмм до 6.00 учетная запись существует, но нет жестко заданного пароля, и учетной записи предоставлены только ограниченные права.
Подводя итог, если ваши серии ATP, USG, ZyWALL, USG FLEX и VPN используют версию прошивки 4.60 Patch 0, пожалуйста, немедленно установите обновления прошивки.
Исправлена ли проблема безопасности?
В отношении брандмауэров мы приняли меры сразу же после получения отчета. В течение 3 дней мы подтвердили проблему, удалили уязвимую версию микропрограммы 4.60 Patch 0 из всех общедоступных точек загрузки и 3 декабря 2020 г. выпустили временное исправление микропрограммы версии 4.60 WK48.
В течение 2 недель мы выпустили стандартное обновление прошивки 4.60 Patch 1 14 декабря 2020 г., завершили развертывание прошивки для всех затронутых моделей и уведомили затронутых пользователей брандмауэра по электронной почте 18 декабря 2020 г.
Прошивка для затронутых контроллеров AP была выпущена 1/7. Поскольку привилегия учетной записи все еще ограничена, серьезность была ниже.
Консультировал ли Zyxel пострадавших пользователей?
Zyxel заранее уведомил затронутых пользователей брандмауэра посредством нескольких уведомлений по электронной почте 18 декабря 2020 г. и 4 января 2021 г. и отправил уведомление о предупреждении в интерфейс управления затронутыми брандмауэрами, чтобы побудить пользователей установить исправления для оптимальной защиты.
Мы также опубликовали рекомендации по безопасности на глобальном веб-сайте и форуме Zyxel 23 декабря 2020 года по адресу:
Официальное заявление Zyxel на веб-странице
Ожидается ли, что пользователи предпримут какие-либо действия?
Если у вас есть уязвимые модели с уязвимыми версиями прошивки, установите обновления прошивки. Если у вас есть какие-либо вопросы по их установке, свяжитесь с нами для получения дополнительной помощи.
Что делать, если я не могу обновить прошивку за короткое время?
Если вы не можете сразу обновить прошивку до последней доступной версии, выполните следующие действия, чтобы минимизировать риск. Однако лучшим решением остается обновление до последней доступной прошивки.
Для брандмауэров
- Если нет необходимости управлять устройствами со стороны WAN, отключите службу FTP / TELNET / SSH / WWW / SNMPv3 из WAN. Эти службы отключены по умолчанию, поэтому вам не придется этого делать, если вы не включали их в прошлом.
- Если вам по-прежнему нужно управлять устройствами со стороны WAN, включите Контроль политик и добавьте правила только для разрешения доступа с доверенных исходных IP-адресов.
- Мы также рекомендуем пользователям включить Контроль политик на стороне LAN и добавить правила только для разрешения доверенных IP-адресов для лучшей защиты.
Удаленный доступ к ZyWALL (USG / UAG / VPN / ATP)
Вы также можете посмотреть наше видео, посвященное этой теме и тому, как вы ее защищаете.
Смотрите прямо сейчас! (Краткая версия, 4 мин.)
Смотрите прямо сейчас! (Версия с более подробными объяснениями, 10 мин.)
Для контроллеров AP,
- Если вам не нужно выполнять автоматическое обновление прошивки для AP через FTP, отключите FTP-службу контроллера. Контроллеры AP используют протокол CAPWAP по умолчанию для доставки таких обновлений.
- Если по-прежнему необходимо включить службу FTP, включите функции управления службами или политиками для лучшей защиты.
Где я могу найти последние рекомендации по безопасности Zyxel?
Рекомендации Zyxel по безопасности доступны по адресу
https://www.zyxel.com/support/security_advisories.shtml
В качестве альтернативы вы можете следить за разделом «Безопасность» в этом Справочном центре. Это также приведет к появлению уведомления по электронной почте в вашей учетной записи, если наша команда что-то добавит сюда.
Zyxel Security Advisories CVE
Перейдите к этой статье и нажмите кнопку «Подписаться» после входа в систему.
Какое электронное письмо было отправлено затронутым клиентам?
«Рекомендации Zyxel по безопасности для CVE-2020-29583».
Как мне проверить, пытается ли неавторизованный пользователь получить доступ к моему устройству?
а) Войдите в свое устройство безопасности
б) Перейдите в «Монитор» -> «Журнал»
в) Фильтр по категории «Пользователь»
Если вы не видите пользователя с «zyfwp» или какой-либо учетной записи с успешным входом в систему, о которой вы не знаете, вы в безопасности после обновления до 4.60 Patch 1.
Обратите внимание, что в журнале может быть только 2048 записей. В этом случае здесь может помочь только предыдущая установка сервера системного журнала для категории «Пользователь» или SecuReport Tool с журналами истории.
Как проверить, изменил ли мою конфигурацию неавторизованный пользователь?
Вы можете проверить свою таблицу учетных записей администратора. Если нет непреднамеренной учетной записи администратора, значит, несанкционированного доступа не произошло. Zyxel не знает о несанкционированном доступе к какому-либо продукту безопасности.
Вы также можете использовать команду SSH:
show running-config |match "admin"
Как проверить правильность установки прошивки?
Если вы перейдете в «Обслуживание» -> «Диспетчер файлов» -> «Управление прошивкой», вы увидите 4.60 Patch 1 с датой сборки 12/1, если версия была правильно обновлена.
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ:
Уважаемый покупатель, имейте в виду, что мы используем машинный перевод для публикации статей на вашем родном языке. Не весь текст можно перевести точно. Если есть вопросы или неточности в точности информации в переведенной версии, просмотрите исходную статью здесь: Исходная версия
Комментарии
0 комментариев
Войдите в службу, чтобы оставить комментарий.