Важное уведомление: |
Обновлено: 6 июля 2021 года / 9 утра по центрально-европейскому времени
(Следите за этой статьей, чтобы получать дальнейшие обновления, нажмите кнопку "Следить", чтобы получать электронное сообщение, если эта статья получит обновление!)
Компания Zyxel отслеживает недавнюю активность угроз, направленных на устройства безопасности Zyxel, и выпустила исправления для прошивки, чтобы защититься от них. Обновления уже доступны! Пользователям рекомендуется установить исправления для оптимальной защиты.
По результатам нашего расследования, угрожающие лица пытаются получить доступ к устройству через WAN; в случае успеха они пытаются войти в систему с украденными, действительными учетными данными или обойти аутентификацию, а также установить SSL VPN-туннели с существующими или вновь созданными учетными записями пользователей, такими как "zyxel_sllvpn", "zyxel_ts" или "zyxel_vpn_test", чтобы манипулировать конфигурацией устройств.
Zyxel сотрудничает со сторонними исследователями безопасности, чтобы отследить действия угроз. По результатам нашего расследования, они могут использовать комбинацию векторов атак, включая:
- Валидные учетные данные пользователей, которые они ранее собрали в результате взлома известных в прошлом уязвимостей, потенциально CVE-2020-29583 или CVE-2020-9054, были полностью устранены в марте и декабре 2020 года. Мы наблюдали, как субъекты угроз входили в систему, используя законные учетные данные пользователей с привилегиями администратора, а в некоторых случаях они также создавали новые учетные записи администраторов.
- Недавно обнаруженная уязвимость обхода аутентификации, отслеживаемая как CVE-2021-35029, которая не обеспечивает надлежащую стерилизацию входных строк и может позволить противнику получить доступ.
Затронутые продукты:
VPN, ZyWALL, USG, ATP, USG FLEX Series в режиме On-Premise с включенным удаленным управлением или SSL VPN уязвимы.
Продукты, работающие в режиме облачного управления Nebula, НЕ затронуты.
Как узнать, затронут ли ваш брандмауэр?
Затронутая версия микропрограммы:
ZLD V4.35 - ZLD 5.01
(дата-коды и пользователь еженедельной версии, пожалуйста, следуйте СОП по устранению последствий) Мы работаем над еженедельной версией, включающей эти исправления, и выпустим ее отдельно как можно скорее.
Zyxel выпустила стандартные исправления для прошивки, которые остаются окончательным решением проблем для затронутых моделей, как указано в таблице ниже. Патчи также включают дополнительные улучшения безопасности, основанные на отзывах пользователей и рекомендациях исследователей безопасности, которые мы настоятельно рекомендуем пользователям немедленно установить для оптимальной защиты сети.
Спасибо команде Spike Reply Cyber Security Team за сотрудничество с нами в расследовании и устранении этой проблемы.
Патчи прошивки
(Вы можете использовать онлайн-сервис обновления прошивки как самый быстрый способ обновления прошивки)
Как обновить устройства USG с помощью облачного сервиса
| Модель |
ZLD5.02 (патч 0) 4 июля 2021 г. |
| Все устройства / Все обновления в одном пакете | Скачать |
| USG FLEX 100 | Скачать |
| USG FLEX 100W | Скачать |
| USG FLEX 200 | Скачать |
| USG FLEX 500 | Скачать |
| USG FLEX 700 | Скачать |
| ATP100 | Скачать |
| ATP100W | Скачать |
| ATP200 | Скачать |
| ATP500 | Скачать |
| ATP700 | Скачать |
| ATP800 | Скачать |
| USG20-VPN | Скачать |
| USG20W-VPN | Скачать |
| USG40 | Скачать |
| USG40W | Скачать |
| USG60 | Скачать |
| USG60W | Скачать |
| USG110 | Скачать |
| USG210 | Скачать |
| USG310 | Скачать |
| USG1100 | Скачать |
| USG1900 | Скачать |
| USG2200 | Скачать |
| ZyWALL110 | Скачать |
| ZyWALL310 | Скачать |
| ZyWALL1100 | Скачать |
| VPN50 | Скачать |
| VPN100 | Скачать |
| VPN300 | Скачать |
| VPN1000 | Скачать |
Примечания к выпуску и шаги по руководству:
- CVE-2021-35029
Устранение уязвимости в веб-интерфейсе управления для серий Zyxel USG/ZyWALL, USG FLEX, ATP и VPN.
- Усовершенствование двухфакторной аутентификации
Поддержка конфигурируемого порта службы 2FA.
[Object -> Auth. Метод -> Двухфакторная аутентификация -> Авторизованный порт
- Усовершенствование проверки безопасности
Автоматическое отключение порта HTTP при разрешении управления WAN в мастере проверки безопасности
мастера проверки безопасности.
- Напоминание о смене пароля
Напоминает привилегированным учетным записям о необходимости смены пароля для обеспечения безопасности.
- Проверка политики безопасности
Показывает неправильную конфигурацию политик безопасности с помощью всплывающего уведомления, а также обновление прошивки и напоминание о смене пароля.
Проверка безопасности появится после завершения обновления прошивки и входа администратора в устройство.
Пример предварительного просмотра заполненной проверки безопасности для веб-интерфейса
WAN доступ должен принадлежать IP WAN вашей компании / IP доступа только для администратора.
SSL VPN должен принадлежать бесплатной функции GEO IP, т.е. Германии и Австрии. Если это именно та область, ваши работники SSL VPN войдут в устройство. После создания этой проверки безопасности вы можете добавить больше IP или стран с помощью настроек брандмауэра.
Рекомендуется отделить "Порт SSL VPN" от "Порта WAN для входа администратора", работник VPN может, например, использовать порт 8443 для входа в SSL VPN, в то время как доступ администратора полностью ограничен.
Если вы не уверены в этом шаге, нажмите "Отмена" и следуйте шагам по устранению последствий ниже в этой статье.
- Усовершенствование журнала
Предоставляет историю журнала, когда объект пользователя был изменен.
Вы можете определить с помощью категории "Пользователь" и сервера Syslog или оповещения по электронной почте, если пользователь вошел/вышел из вашего устройства или был создан или удален пользователь-администратор. Настройка записи Syslog Server на USG.
Дополнительные усовершенствования:
- Усовершенствования мастера первоначальной настройки
Помогает пользователям применять политики безопасности против доступа к веб-интерфейсу управления и службе SSL VPN из Интернета.
- Настраиваемый доступ к SSL VPN и глобальной сети
Разделяет опции доступа к службе SSL VPN и WAN Access.
Как использовать SSL VPN на порту, отличном от порта веб-интерфейса управления
- GeoIP теперь является дополнительной функцией.
Встроенная функция GeoIP для усиления безопасности доступа, которая теперь доступна бесплатно для всего диапазона брандмауэров.
Как использовать функцию Geo-IP
Как узнать, затронут ли ваш брандмауэр?
Следующее поведение может быть потенциальной причиной того, что вы затронуты проблемой:
- Проблемы с VPN
- Проблема маршрутизации
- Проблема трафика
- Неизвестные параметры конфигурации
- Дополнительное создание администратора
Одно или несколько изменений конфигурации отображается, если ваше устройство затронуто:
-
Unknown Admin Accounts Created
[Configuration -> Object -> User / Group setting]
Fix Action: Удалите все неизвестные учетные записи администраторов и пользователей
Создание пользователя / администратора будет в самом низу (последним в списке). Примерами могут быть:
(manage, zyxel_sllvpn, sslvpn_index, zyxel_ts, и т.д...) другие / новые неизвестные тоже могут быть.
Учетные записи обычно находятся внизу / на последней странице списка учетных записей.
-
Unknown Policy Route created
[Configuration -> Routing -> Policy Route]
Fix Action: Удалить маршрут политики 1, если условия совпадают
.
На экране Policy Route обычно в позиции 1 отображается неизвестный Policy Route.
Пример:
LAN1_Subnet -> to any -> Next-Hop -> AUTO
Пример 2:
LAN1_Subnet -> to any -> Next-Hop -> VPN Tunnel
-
Неизвестная политика безопасности / создано правило брандмауэра
[Конфигурация -> Политика безопасности]
Исправить действие: Удалите правило брандмауэра, показав "loseang" в описании.
Появится вновь созданное правило брандмауэра с описанием "loseang" и обычно способом "WAN to ZyWALL".
-
Неизвестная настройка SSL VPN
[Конфигурация -> SSL VPN]
Устранение Действие: Удалить группу / пользователя настройки "SSL VPN"
Обычно создается пользователь с именем "zyxel_ts" или "zyxel_sllvpn" или "sslvpn_index" или "zyxel_vpn_test" и или это имя настройки SSL VPN.
Что вы можете сделать, если обнаружили вышеупомянутые пункты на вашем устройстве?
1) Отремонтируйте устройство: (наша служба поддержки также предлагает удаленные сеансы через Teamviewer, чтобы помочь вам)
- Действия по устранению: Удалите все неизвестные учетные записи администраторов и пользователей
- Исправить действие: Удалить маршрут политики 1, если условия совпадают
- Исправить действия: Удалить правило брандмауэра, показывающее "loseang" в описании
- Исправить действия: Удалить группу/пользователя настройки "SSL VPN".
2) Защитите это устройство с помощью следующих изменений и обновите его до последней версии прошивки
Все изменения в защите кратко описаны в этом видеофайле:
a) Просмотрите конфигурацию брандмауэра (обязательно).
- Разрешите только Source IP, который разрешен для ZyWALL Zone Setup Assistance.
- Защитите это с помощью функции GEO IP Country из вашего местоположения Setup Assistance.
- Убедитесь, что все другие не доверенные соединения от WAN к ZyWALL настроены на правило "запретить" ниже, чем разрешающие правила.
b) Изменение портов (рекомендуется)
[Будьте осторожны - сначала измените Firewall, и если вы самостоятельно подключитесь через SSL VPN, он переподключит вас, не блокируйте себя].
- Измените порт HTTPS на другой порт. Помощь в настройке
- Измените порт для SSL VPN на другой порт, который не перекрывается с портом HTTPS GUI Port
(функция ZLD 5.0) Помощьв настройке
c) Изменение пароля (обязательно)
- Измените пароль администратора
d) Настройка двухфакторного входа (необязательно) Помощь в настройке
Если вы хотите получать уведомления о дальнейших предупреждениях об инцидентах безопасности, пожалуйста, следуйте этой статье , чтобы получать уведомления об этом.
Если у вас возникли дополнительные вопросы или опасения по поводу безопасности вашей сети, не стесняйтесь обращаться в нашу службу поддержки или свяжитесь с местным торговым представителем - они будут рады помочь.
Комментарии
0 комментариев
Войдите в службу, чтобы оставить комментарий.