Dôležité upozornenie: |
Aktualizované: V roku 2014 bola aktualizovaná verzia článku:
(Sledujte tento článok, ak chcete dostávať ďalšie aktualizácie, kliknite na tlačidlo "Sledovať", aby ste dostali e-mail, ak sa tento článok aktualizuje!)
Spoločnosť Zyxel sledovala nedávne aktivity aktérov hrozieb zameraných na bezpečnostné zariadenia Zyxel a vydala opravy firmvéru na obranu proti nim. Aktualizácie sú už k dispozícii! Používateľom odporúčame, aby si záplaty nainštalovali pre optimálnu ochranu.
Na základe nášho vyšetrovania sa aktéri hrozieb pokúšajú získať prístup k zariadeniu prostredníctvom siete WAN; ak sa im to podarí, potom sa pokúšajú prihlásiť pomocou ukradnutých platných poverení alebo obísť overovanie a vytvoriť tunely SSL VPN s existujúcimi alebo novovytvorenými používateľskými účtami, ako napríklad "zyxel_sllvpn", "zyxel_ts" alebo "zyxel_vpn_test", aby mohli manipulovať s konfiguráciou zariadení.
Spoločnosť Zyxel spolupracuje s bezpečnostnými výskumníkmi tretích strán na sledovaní aktivít aktérov hrozieb. Na základe nášho vyšetrovania by mohli zneužívať kombináciu vektorov útoku, vrátane:
- Platné používateľské poverenia, ktoré predtým získali z narušenia v minulosti známych zraniteľností, potenciálne CVE-2020-29583 alebo CVE-2020-9054, boli kompletne opravené v marci a decembri 2020. Zaznamenali sme, že aktéri hrozby sa prihlasovali pomocou legitímnych používateľských poverení s oprávneniami správcu a v niektorých prípadoch vytvorili aj nové účty správcu.
- Novo odhalená zraniteľnosť obchádzania autentifikácie sledovaná ako CVE-2021-35029, ktorá správne nesterilizovala vstupné reťazce a mohla umožniť protivníkovi získať prístup.
Postihnuté produkty: - V prípade, že sa v produkte nachádza prístupový kód, je možné, že sa v produkte nachádza prístupový kód, ktorý je v produkte umiestnený:
VPN, ZyWALL, USG, ATP, USG FLEX Series v režime On-Premise s povolenou vzdialenou správou alebo SSL VPN sú zraniteľné.
Zariadenia s režimom cloudovej správy Nebula NIE sú ovplyvnené.
Ako zistiť, či je váš firewall ovplyvnený?
Ovplyvnená verzia firmvéru:
ZLD V4.35 až ZLD 5.01
(dátumové kódy a týždenné verzie používateľov, postupujte podľa SOP pre zmiernenie] Pracujeme na týždennej verzii, ktorá obsahuje tieto opravy, a čo najskôr ich vydáme samostatne.
Spoločnosť Zyxel vydala štandardné opravy firmvéru, ktoré zostávajú definitívnym riešením problémov pre dotknuté modely, ako je uvedené v tabuľke nižšie. Opravy obsahujú aj ďalšie bezpečnostné vylepšenia na základe spätnej väzby používateľov a rád bezpečnostných výskumníkov, ktoré používateľom dôrazne odporúčame okamžite nainštalovať pre optimálnu ochranu siete.
Ďakujeme tímu kybernetickej bezpečnosti Spike Reply za spoluprácu pri vyšetrovaní a odstraňovaní tohto problému.
Záplaty firmvéru
(ako najrýchlejší spôsob aktualizácie firmvéru môžete použiť službu aktualizácie firmvéru online)
Ako aktualizovať zariadenia USG prostredníctvom cloudovej služby
| Model |
ZLD5.02 (oprava 0) 4. júla 2021 |
| Všetky zariadenia / Všetky aktualizácie v jednom balíku | Stiahnite si stránku |
| USG FLEX 100 | Na stiahnutie |
| USG FLEX 100W | Na stiahnutie |
| USG FLEX 200 | Na stiahnutie |
| USG FLEX 500 | Na stiahnutie |
| USG FLEX 700 | Na stiahnutie |
| ATP100 | Na stiahnutie |
| ATP100W | Na stiahnutie |
| ATP200 | Na stiahnutie |
| ATP500 | Na stiahnutie |
| ATP700 | Na stiahnutie |
| ATP800 | Na stiahnutie |
| USG20-VPN | Na stiahnutie |
| USG20W-VPN | Na stiahnutie |
| USG40 | Na stiahnutie |
| USG40W | Na stiahnutie |
| USG60 | Na stiahnutie |
| USG60W | Na stiahnutie |
| USG110 | Na stiahnutie |
| USG210 | Na stiahnutie |
| USG310 | Na stiahnutie |
| USG1100 | Na stiahnutie |
| USG1900 | Na stiahnutie |
| USG2200 | Na stiahnutie |
| ZyWALL110 | Na stiahnutie |
| ZyWALL310 | Na stiahnutie |
| ZyWALL1100 | Na stiahnutie |
| VPN50 | Na stiahnutie |
| VPN100 | Na stiahnutie |
| VPN300 | Stiahnite si |
| VPN1000 | Stiahnite si |
Poznámky k vydaniu a návod na použitie:
- CVE-2021-35029
Oprava zraniteľnosti pre webové rozhranie na správu zariadení Zyxel radu USG/ZyWALL, USG FLEX, ATP a VPN
- Vylepšenie dvojfaktorového overovania
Podporuje konfigurovateľný port služby 2FA.
[Objekt -> Auth. Method -> Two-Factor Authentication -> Authorized Port
- Vylepšenie kontroly zabezpečenia
Automaticky vypína port HTTP a zároveň umožňuje správu WAN v zabezpečení
Sprievodca kontrolou.
- Pripomienka zmeny hesla
Pripomína privilegovaným účtom, aby si kvôli bezpečnosti zmenili heslá.
- Kontrola bezpečnostnej politiky
Zobrazuje nesprávnu konfiguráciu bezpečnostných politík prostredníctvom vyskakovacieho upozornenia spolu s aktualizáciou firmvéru a pripomienkou zmeny hesla.
Kontrola zabezpečenia sa zobrazí po dokončení aktualizácie firmvéru a prihlásení správcu do zariadenia.
Náhľad Príklad vyplnenej kontroly zabezpečenia pre webové rozhranie
Prístup do siete WAN by mal patriť vašej firemnej IP adrese WAN / IP adrese prístupu len pre administrátora.
SSL VPN by mala patriť k bezplatnej funkcii GEO IP, t. j. Nemecko a Rakúsko. Ak ide o túto oblasť, vaši pracovníci SSL VPN sa prihlásia do zariadenia. Po vytvorení tejto kontroly zabezpečenia môžete pridať ďalšie IP alebo krajiny pomocou nastavení brány Firewall.
Odporúča sa oddeliť "SSL VPN Port" od "WAN Port for Admin Login" (Port WAN pre prihlásenie administrátora), pracovník VPN môže, t. j. používať Port 8443 na prihlásenie pomocou SSL VPN, pričom prístup k prihláseniu administrátora je úplne obmedzený.
Ak si týmto krokom nie ste istí, kliknite na tlačidlo "Cancel" (Zrušiť) a postupujte podľa krokov na zmiernenie následkov uvedených nižšie v tomto článku.
- Vylepšenie protokolu
Poskytuje históriu protokolov, keď bol objekt používateľa zmenený.
Pomocou kategórie "User" (Používateľ) a servera Syslog alebo e-mailového upozornenia môžete identifikovať, či sa používateľ prihlásil/odhlásil zo zariadenia alebo či bol vytvorený alebo odstránený používateľ administrátora. Nastavenie položky servera Syslog na zariadení USG.
Ďalšie vylepšenia:
- Vylepšenia sprievodcu úvodným nastavením
Pomáha používateľom presadzovať zásady zabezpečenia proti prístupu k webovému rozhraniu správy a službe SSL VPN z internetu.
- Konfigurovateľný prístup SSL VPN a WAN
Oddeľuje možnosti prístupu k službe SSL VPN a WAN Access.
Ako používať SSL VPN na inom porte ako webové grafické rozhranie
- GeoIP je teraz bezplatná funkcia.
Zabudovaná funkcia GeoIP na posilnenie zabezpečenia prístupu - ktorá je teraz k dispozícii bezplatne pre celý rad firewallov.
Ako používať funkciu GeoIP
Ako zistiť, či sa to týka vašej brány firewall?
Nasledujúce správanie môže byť potenciálnym dôvodom, že ste ovplyvnení:
- Problémy s VPN
- Problém so smerovaním
- Problém s prevádzkou
- Neznáme konfiguračné parametre
- Dodatočné vytvorenie administrátora
Jedna alebo viacero zmien konfigurácie sa zobrazí, ak je vaše zariadenie ovplyvnené:
-
Neznáme vytvorené kontá administrátora
[Konfigurácia -> Objekt -> Nastavenie používateľa / skupiny]
Opravná akcia: Odstráňte všetky neznáme kontá správcu a používateľa
Vytvorenie User / Admin bude na konci (posledné v zozname). Niekoľko príkladov môže byť:
(manage, zyxel_sllvpn, sslvpn_index, zyxel_ts, atď...) Ostatné / nové neznáme by sa tiež mohli stať.
Účty sa zvyčajne nachádzajú na spodnej / poslednej strane zoznamu účtov.
-
Vytvorená neznáma smerovacia politika
[Konfigurácia -> Smerovanie -> Smerovacia politika]
Opravná akcia: Odstrániť Policy Route 1, ak podmienky vyhovujú
Na obrazovke Policy Route sa zvyčajne na pozícii 1 zobrazuje neznáma Policy Route.
Príklad:
LAN1_Subnet -> to any -> Next-Hop -> AUTO
Príklad 2:
LAN1_Subnet -> to any -> Next-Hop -> VPN Tunnel
-
Vytvorená neznáma zabezpečená politika / pravidlo brány firewall
[Configuration -> Secure Policy]
Opravná akcia: Odstráňte pravidlo brány firewall, ktoré v popise zobrazuje "loseang".
Zobrazí sa novo vytvorené pravidlo firewallu s popisom "loseang" a zvyčajne spôsobom "WAN to ZyWALL".
-
Neznáme nastavenie SSL VPN
[Configuration -> SSL VPN]
Opravné opatrenie: Odstráňte skupinu nastavení "SSL VPN" / používateľa
Zvyčajne je vytvorený používateľ s názvom "zyxel_ts" alebo "zyxel_sllvpn" alebo "sslvpn_index" alebo "zyxel_vpn_test" a alebo je to názov nastavenia SSL VPN.
Čo môžete urobiť, ak ste vo svojom zariadení našli vyššie uvedené body?
1) Opravte zariadenie: (náš tím podpory ponúka aj vzdialené sedenia prostredníctvom programu Teamviewer, ktoré vám pomôžu)
- Akcia na opravu: V prípade potreby vykonajte opravu zariadenia: Odstráňte všetky neznáme kontá administrátora a používateľa
- Opravná akcia: 1. V prípade potreby vykonajte opravu používateľského konta, ktoré je v zozname používateľov: Odstráňte trasu politiky 1, ak sa podmienky zhodujú
- Opravná akcia: Odstrániť pravidlo brány firewall, ktoré v popise zobrazuje "loseang"
- Opravná akcia: Odstrániť skupinu nastavení "SSL VPN" / používateľa
2) Chráňte toto zariadenie nasledujúcimi zmenami a aktualizujte na najnovšiu verziu firmvéru a
. Všetky zmeny ochrany sú zhrnuté v tomto videosúbore:
a) Skontrolujte konfiguráciu brány firewall (povinné)
- Povoľte len zdrojovú IP adresu, ktorá je povolená pre asistenciu pri nastavovanízóny ZyWALL.
- Chráňte ju pomocou funkcie GEO IP Country (Krajina GEO IP) z vašej asistencie pri nastavovanípolohy
- Uistite sa, že všetky ostatné nedôveryhodné pripojenia z WAN do ZyWALL sú nastavené do nižšej pozície pravidla "deny" ako pravidlá "allow".
b) Zmeny portov (navrhnite)
[Buďte opatrní - preto najskôr upravte Firewall, a ak sa sami pripojíte pomocou SSL VPN, znovu vás pripojí, neblokujte sa].
- Zmeňte port HTTPS na iný port. Pomoc s nastavením
- Zmeňte port pre SSL VPN na iný port, ktorý sa neprekrýva s portom GUI HTTPS
(funkcia ZLD 5.0) Pomoc pri nastavení
c) Zmena hesla (povinná)
- Zmeňte heslo správcu
d) Nastavenie dvojfaktorového prihlasovania (voliteľné) Pomoc pri nastavovaní
Ak chcete dostávať oznámenia o ďalších upozorneniach na bezpečnostné incidenty, postupujte podľa tohto článku , aby ste o nich dostávali oznámenia.
Ak máte akékoľvek ďalšie otázky alebo obavy týkajúce sa zabezpečenia vašej siete, neváhajte sa obrátiť na náš tím podpory alebo na miestneho obchodného zástupcu - radi vám pomôžu.
Príspevky
0 comments
Prosím prihlásiť sa pre vloženie príspevku.