Предупреждение об уязвимости системы безопасности и исправления микропрограмм - серия Firewall

Обновлено: 6 июля 2021 г. / 9:00 CET
(Следуйте этой статье, чтобы получать дальнейшие обновления, нажмите кнопку «Follow», чтобы получить электронное письмо, если эта статья получит обновление!)

Zyxel отслеживает недавнюю активность злоумышленников, нацеленных на устройства безопасности Zyxel, и выпустил исправления прошивки для защиты от них. Доступны обновления! Пользователям рекомендуется установить исправления для оптимальной защиты. 

Согласно нашему расследованию, злоумышленники пытаются получить доступ к устройству через глобальную сеть; в случае успеха они затем пытаются войти в систему с украденными действительными учетными данными или обойти аутентификацию и установить туннели SSL VPN с существующими или вновь созданными учетными записями пользователей, такими как «zyxel_sllvpn», «zyxel_ts» или «zyxel_vpn_test», чтобы управлять конфигурация устройств.

Zyxel сотрудничает со сторонними исследователями безопасности, чтобы отслеживать действия злоумышленников. Согласно нашему расследованию, они могли злоупотреблять комбинацией векторов атаки, в том числе:

• Действительные учетные данные пользователя, которые они ранее получили в результате нарушения прошлых известных уязвимостей, возможно, CVE-2020-29583 или CVE-2020-9054. , были полностью исправлены в марте и декабре 2020 года. Мы наблюдали, как злоумышленники входили в систему с использованием законных учетных данных, определенных пользователем с правами администратора, а в некоторых случаях они также создавали новые учетные записи администратора.
• Недавно обнаруженная уязвимость обхода аутентификации, отслеживаемая как CVE-2021-35029 , не обеспечивала надлежащую стерилизацию входных строк и могла позволить злоумышленнику получить доступ.
  
  

Затронутые продукты:
Уязвимы VPN, ZyWALL, USG, ATP, USG FLEX Series в локальном режиме с удаленным управлением или SSL VPN.

Те, кто использует режим управления облаком Nebula, НЕ затронуты .
Как узнать, затронут ли ваш брандмауэр?

Затронутая версия прошивки:
ZLD V4.35 - ZLD 5.01

(коды даты и еженедельная версия пользователя, пожалуйста, следуйте СОП по смягчению последствий ). Мы работаем над еженедельной версией, которая включает эти исправления, и выпускаем их отдельно как можно скорее.

Zyxel выпустила стандартные исправления микропрограмм, которые остаются окончательным решением проблем для затронутых моделей, как указано в таблице ниже. Патчи также включают дополнительные улучшения безопасности, основанные на отзывах пользователей и советах исследователей безопасности, которые мы настоятельно рекомендуем пользователям установить немедленно для оптимальной защиты сети.

Благодарим команду кибербезопасности Spike Reply за работу с нами над исследованием и исправлением этой проблемы.

Патчи прошивки
(Вы можете использовать онлайн-службу обновления прошивки как самый быстрый способ обновить прошивку)
Как обновить устройства USG через облачный сервис

Примечания к выпуску и инструкции:

• CVE-2021-35029

Исправление уязвимости для веб-интерфейса управления серий Zyxel USG / ZyWALL, USG FLEX, ATP и VPN.

• Улучшение двухфакторной аутентификации

Поддерживает настраиваемый сервисный порт 2FA.
[Объект -> Авт. Метод -> Двухфакторная аутентификация -> Авторизованный Port

• Улучшение проверки безопасности

Автоматически отключает порт HTTP, разрешая управление WAN в целях безопасности

проверить мастера.

• Напоминание о смене пароля

Напоминает привилегированным учетным записям изменить пароли в целях безопасности.

• Проверка политики безопасности

Показывает неправильную настройку политик безопасности во всплывающем уведомлении, а также при обновлении прошивки и напоминании о смене пароля.

Проверка безопасности появится после завершения обновления прошивки, и администратор войдет в систему на устройстве.

Предварительный просмотр Пример заполненной проверки безопасности для веб-интерфейса

Доступ к WAN должен принадлежать IP-адресу WAN вашей компании / IP-адресу доступа только администратора.

SSL VPN должен принадлежать бесплатной функции GEO IP, то есть Германии и Австрии. Если это область, ваши работники SSL VPN войдут в систему на устройстве. После создания этой проверки безопасности вы можете добавить больше IP-адресов или стран с помощью настроек Firewall.

Рекомендуется отделить «SSL VPN Port» от «WAN Port для входа администратора», рабочий VPN может, например, использовать Port 8443 для входа в систему с помощью SSL VPN, где доступ для входа в систему администратора полностью ограничен.

Если вы не уверены в этом шаге, нажмите «Отмена» и следуйте инструкциям по снижению риска, приведенным ниже в этой статье.

• Улучшение журнала

Предоставляет журнал журнала, когда пользовательский объект был изменен.

Вы можете идентифицировать себя с помощью категории «Пользователь» и сервера системного журнала или оповещения по электронной почте, если пользователь выполнил вход / выход из вашего устройства или был создан или удален пользователь с правами администратора. Настройка записи сервера системного журнала на универсальной группе безопасности .

Дополнительные улучшения:

• Усовершенствования мастера начальной настройки

Помогает пользователям применять политики безопасности против доступа к веб-интерфейсу управления и службе SSL VPN из Интернета.

• Настраиваемый SSL VPN и доступ к WAN

Разделяет варианты доступа для службы доступа SSL VPN и WAN.
Как использовать SSL VPN на другом порту, отличном от веб-интерфейса

• GeoIP теперь является бесплатной функцией.

Встроенная функция GeoIP для усиления безопасности доступа, которая теперь доступна бесплатно для всего диапазона межсетевых экранов.
Как использовать функцию Geo-IP

Как узнать, затронут ли ваш брандмауэр?

Следующее поведение потенциально может быть причиной того, что вы пострадали:

• Проблемы с VPN
• Проблема с маршрутизацией
• Проблема с трафиком
• Неизвестные параметры конфигурации
• Создание дополнительного администратора

Одно или несколько изменений конфигурации отображаются, если ваше устройство затронуто:

• Неизвестные учетные записи администраторов созданы
  [Конфигурация -> Объект -> Настройка пользователя / группы]
  Исправить действие: удалить все неизвестные учетные записи администратора и пользователя.
  
  
  
  
  
  
  Создание пользователя / администратора будет внизу (последним в списке). Вот несколько примеров:
  (manage, zyxel_sllvpn, sslvpn_index, zyxel_ts и т. д.) другие / новое неизвестное тоже может произойти.
  Учетные записи обычно находятся на нижней / последней странице вашего списка учетных записей.

• Неизвестный маршрут политики создан
  [Конфигурация -> Маршрутизация -> Маршрут политики]
  Исправить действие: удалить маршрут политики 1, если условия совпадают.
  
  
  Экран Policy Route обычно показывает в позиции 1 неизвестный Policy Route.
  Пример:
  LAN1_Subnet -> в любую -> Next-Hop -> AUTO
  Пример 2:
  LAN1_Subnet -> в любой -> Next-Hop -> VPN-туннель
  
  
• Неизвестная политика безопасности / Firewall Правило создано
  [Конфигурация -> Политика безопасности]
  Действие исправления: Удалите правило брандмауэра, указав в описании слово «потеряно».
  
  
  Появится новое созданное правило брандмауэра с описанием "lostang" и обычно путем "WAN to ZyWALL".
  
  
• Неизвестная настройка SSL VPN
  [Конфигурация -> SSL VPN]
  Действие по исправлению: удалите группу / пользователя настройки «SSL VPN».
  
  
  Обычно создается пользователь с именем «zyxel_ts», «zyxel_sllvpn», «sslvpn_index» или «zyxel_vpn_test», или это имя настройки SSL VPN.
  
  

Что вы можете сделать, если нашли на своем устройстве упомянутые выше точки?

1) Отремонтируйте устройство: (наша служба поддержки также предлагает удаленные сеансы через Teamviewer, чтобы помочь вам)

• Исправить действие: удалить все неизвестные учетные записи администратора и пользователя.
• Исправить действие: удалить маршрут политики 1, если условия совпадают.
  
• Действие по исправлению: удалите правило брандмауэра, указав в описании слово «потеряно».
  
• Действие по исправлению: удалите группу / пользователя настройки «SSL VPN».

2) Защитите это устройство следующими изменениями и обновите прошивку до последней версии a

Все изменения защиты обобщены в этом видеофайле:

а) Просмотрите конфигурацию Firewall (обязательно)

• Разрешить только исходный IP-адрес, который разрешен ZyWALL Zone Setup Assistance .
• Защитите это с помощью функции GEO IP Country из вашего местоположения Помощь при настройке
• Убедитесь, что все остальные ненадежные соединения из WAN в ZyWALL настроены в более низкое положение правила запрета, чем правила разрешения.

б) Изменения Port (предложить)

[Будьте осторожны - сначала измените Firewall, и если вы подключаетесь через SSL VPN, он подключит вас повторно, не блокируйте себя]

• Измените порт HTTPS на другой порт. Помощь при настройке
• Измените порт для SSL VPN на другой порт, который не перекрывается с GUI HTTPS Port
  (Функция ZLD 5.0) Помощь в настройке

в) Смена пароля (обязательно)

• Измените пароль администратора

г) Настройка двухфакторного входа (опционально) Помощь в настройке

Если вы хотите получать уведомления о дальнейших предупреждениях об инцидентах безопасности, следуйте этой статье, чтобы получать уведомление об этом.

Если у вас есть дополнительные вопросы или опасения по поводу сетевой безопасности, не стесняйтесь обращаться в нашу службу поддержки или к местному торговому представителю - они будут рады помочь.

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ:

Уважаемый покупатель, имейте в виду, что мы используем машинный перевод для публикации статей на вашем родном языке. Не весь текст можно перевести точно. Если есть вопросы или неточности относительно точности информации в переведенной версии, просмотрите исходную статью здесь: Исходная версия