-------------------------------------------------------------------------------------------------------------------

Zyxel hjälper dig att skydda ditt nätverk och underhålla din brandvägg!

Kolla in den här artikeln för att läsa alla TechTalk Insights:

[BEST PRACTICE] Underhåll av brandvägg, konfigureringsskydd och begränsning av CVE-attacker

------------------------------------------------------------------------------------------------------------------- Vanligaproblem med uppgradering och återställningssteg
FAQ Avsnitt med de vanligastefrågorna
Optimering av brandväggen för att skydda enheterna

Vi har informerats om flera problem med VPN-anslutningar och nätverksavbrott som rapporterats till oss för närvarande. Som svar på detta problem har vi påskyndat utvecklingen av en brådskande hotfix-firmware som är tillgänglig sedan 5/23 och tillämplig på alla modeller, som är avsedd att ta itu med och omedelbart rätta till situationen. Sedan den 24/5 har Zyxel släppt officiella patchar för brandväggar som påverkas av flera buffer overflow-sårbarheter. Användare rekommenderas att installera dem för optimalt skydd.

Kolla in CVE på vår globala webbsida

CVE-2023-33009

En buffertöverflödssårbarhet i meddelandefunktionen i vissa brandväggsversioner kan göra det möjligt för en obehörig angripare att orsaka DoS-förhållanden (denial-of-service) och även en fjärrkodsexekvering på en påverkad enhet.

CVE-2023-33010

I vissa brandväggsversioner kan ett buffertöverskridande i ID-behandlingsfunktionen göra det möjligt för en oautentiserad angripare att orsaka DoS-förhållanden och till och med en fjärrkörning av kod på en påverkad enhet.

Erkännande

Tack till följande säkerhetskonsulter:

• Lays och atdog från TRAPA Security, följt av
• STAR Labs SG

Behöver du ett komplett paket för alla modeller?
Ladda ner här för alla enheter i ett steg! (3 GB)

Du kan också använda Cloud Firmware-uppgradering och installera 5.36 Patch 2 eller 4.73 Patch 2 istället för hotfix-versionen! Så här uppgraderar du USG-enheter via molntjänst

[Hotfix och Patch 2 är likartade. Om du använder någon av dem behöver du inte uppgradera med den officiella versionen. Du kan uppgradera nästa firmwareversion 5.37, i juli 2023 (normalt utgivningsflöde)

Pågående problem och sätt att lösa dem

Firmware 4.73 Patch 0 eller högre och 5.32 Patch 0 eller högre:

Enheten bör kunna uppgradera till 4.73 Patch 2 eller 5.36 Patch 2 direkt. Inga ytterligare åtgärder behövs. (Lokalt och Nebula Cloud)

!! Firmware 4.72 Patch 0 eller tidigare och 5.32 Patch 0 eller tidigare: (On-Premise) !!
[Brandväggar som är föråldrade sedan länge kanske inte kan uppdateras till aktuellt skydd]

Symptom:
Enheten laddar upp firmware men triggar inte en omstart
Enheten fastnar på 100%-skärmen vid uppladdning
Enheten kan inte uppgradera till 4.73 Patch 2 eller 5.36 Patch 2 med hjälp av molnet eller manuell uppladdning

Lösning:

Säkerhetskopiera startup-config.conf från RUNNING-partitionen

Navigera till Underhåll -> Filhanteraren -> Konfigurationsfil -> Konfiguration

Välj "startup-config.conf" och tryck på "Download"

Starta om till standby-partitionen [CONFIG LOST]

Konfig kan vara system-default.conf här eller andra äldre konfigurationsfiler! WAN / Remote kan gå förlorad!

[Detta möjliggör uppgraderingar till partitionen "PREVIOUS RUNNING"]

Den fasta programvaran kommer att vara May Base (4.29) och webbläsarproblem, använd helst Chrome, försök att hoppa över guiden och ladda upp Patch 2-fast programvara manuellt

Detta kommer att skriva över konfigurationen på Running, om du inte har en säkerhetskopia, tas all originalkonfiguration bort

Konfigurationen för standby-partitionen kommer nu att laddas, och du kan förlora åtkomsten till brandväggen efter omstarten. Om du inte har administratörslösenordet måste du återställa brandväggen genom att hålla in RESET-knappen i 15 sekunder och använda säkerhetskopian efter återställningen.

Vänta tills brandväggen startar upp standby-partitionen

Tillämpa säkerhetskopiering av konfigurationen på den körande partitionen

Logga in på brandväggen igen. Du kan använda cmd (ipconfig) på din dator eller ladda ner Advanced IP scanner för att hitta din brandväggs IP-adress.

Uppgradera den körande partitionen (#2 nedan) till Patch 2 firmware.

Eller så kan du uppgradera standby-partitionen (#1 nedan), som då klonar/kopierar konfigurationsfilen från Running-partitionen till standby-partitionen.

Ladda upp säkerhetskopian av konfigurationen till den uppgraderade partitionen

Låt nu brandväggen starta om och ladda upp säkerhetskopian som du hämtade i steg 1.

Låt den sedan starta om och tillämpa konfigurationen.

Nu kan du också uppgradera standby-partitionen till den senaste versionen för att undvika framtida problem.

Om du har problem kan du ändra säkerhetskopians konfigurationsfil "startup-conf.conf" i Notepad (eller Notepad++) genom att ta bort firmware-raden

Före:

Efter:

Spara konfigurationsfilen och ladda upp den igen.

Vad mer kan hindra dig från att nå din brandvägg?

Du kan vara påverkad av tidigare CVE-intrång som orsakar onormalt beteende på din enhet. Än så länge är de goda nyheterna att vi kan åtgärda dem alla. Men vi måste identifiera vilken tidigare CVE som din enhet påverkas av.

Situation A - Efter omstart kan du inte blockera "UDP500" eftersom GUI är direkt borta

I det här fallet kan du försöka få tag på enheten med en Teamviewer (LAN-åtkomst) och göra en Windows FTP-anslutning (inget FTP-verktyg) till LAN-IP:n. Kopiera "startup-config" från mappen "conf" till mappen "standby_conf" och "drag&drop" Patch 2 firmware till mappen "firmware 1". Detta startar om brandväggen och uppgraderar systemet.

Situation B - Efter omstart kan du blockera UDP500 men inte uppgradera firmware

Vänligen följ: Denna lösning

Situation C - Du kan inte nå din enhet via "HTTPS" på din normala port

Kontrollera via fjärr-LAN om din enhet fungerar "HTTP" baserat på port 4337 som en säkerhetskopia.
Om så är fallet, följ processen för Situation A.

Situation D - Enhet HA kan inte uppgradera firmware
Du får till exempel felmeddelandet: "DHA2 upptäcker passivt fel"
I det här fallet måste du distribuera Device HA On-Site på nytt. Det kommer inte att finnas något sätt för fjärråterställning.

Enhet HA Pro omfördela

FAQ-avsnitt

Vilka problem uppstår i mitt nätverk eller min brandvägg om jag redan är drabbad?

• GUI kanske inte låter dig logga in på Admin Interface (ZySH Daemon upptagen)
• VPN kan ha instabila scenarier (trafik passerar eller tunneln byggs ofta om med mindre drifttid)
• Enheten kan startas om om watchdog återställer daemon för ofta
• Enheterna visar hög CPU-användning (90 % eller högre)
• Mycket gammal firmware: HTTPS-port fungerar inte
• Mycket gammal firmware: Enheten kan inte uppgradera den fasta programvaran

Vilken firmware-version behöver jag för att vara säker?

• Installera den senaste firmware 5.36 Patch 2 eller vårt hotfix i tabellen ovan
  
  

Måste jag installera någon uppdatering före 4.73 Patch 2 eller 5.36 Patch 2, eller kan jag uppgradera direkt?

Det spelar ingen roll vilken firmwareversion du har på din enhet, du kan uppgradera direkt till vår senaste version, och du kan ignorera alla steg från tidigare Release Notes-dokument!

Vad händer om jag inte kan logga in på enheten eller bara ibland? [Skyddssteg för att motverka DDOS-attacker]

• Du kan försöka starta om enheten först och sedan använda den inbyggda programvaran
• Ta bort den tillfälliga porten "IKE500" från WAN till ZyWALL-gruppen (Objekt > Adress)
• Skapa en tillfällig brandväggsregel "WAN till ZyWALL" Tjänst: IKE500 (UDP) > Blockera

Om du är på plats kan du också ta bort WAN-upplänken för tillfället och fortsätta med uppgraderingen lokalt. Du kan också prova detta på distans genom att få hjälp med att ta bort WAN-upplänken på plats och utföra en uppgradering via Teamviewer, dvs. "Hotspot från smartphone".

Dessa steg bör hjälpa till att stabilisera enheten och uppgradera firmware till en skyddad version.

Mitt VPN är fortfarande instabilt efter att jag uppgraderat enheten. Vad kan jag göra?

Det är viktigt att uppgradera server- och klientsidorna (för Site-to-Site VPN). Endast om båda platserna är uppgraderade kommer skyddet att fungera.

Behöver jag fortfarande uppgradera till 5.36 Patch 2 eller 4.73 Patch 2 om jag använder hotfixet?

Nej, versionen kommer att vara liknande, så ingen ytterligare uppgradering behövs.

Påverkas även min Nebula-hanterade enhet?

Ja, uppdateringar för Nebula finns tillgängliga nu, och brandväggen kan uppdateras via Nebula Control Center Nebula CC - Uppgradering av en enhets firmware [Firmware Management]

Jag vill installera den inbyggda programvaran, men förloppet stannar på 100 % efter uppladdningen, eller enheten startar inte om. Vad kan jag göra för att undvika detta?

Detta kan hända om du har en äldre firmware-version, t.ex. 5.30, och påverkas av tidigare släppta korrigeringar för andra förebyggande åtgärder. Kontakta supporten för att få ytterligare hjälp.

Jag har uppgraderat mina enheter, men jag har fortfarande ingen VPN-trafik eller VPN har inte byggts upp. Vad kan jag göra?
Se till att du tar bort reglerna "WAN to ZyWALL" för att blockera UDP500-trafik.

Finns det något annat sätt att uppgradera firmware om det inte fungerar?
Du kan försöka uppgradera Firmware via FTP. USG & Zywall - Firmwareuppdatering via FTP

Mitt VPN för trafik fungerar inte. Jag har en anslutning till Schweiz eller Swisscom ISP. Vad kan det bero på?
Swisscom lanserade nyligen en uppgradering för Swisscom Router som blockerar VPN-trafik i DMZ-zonen. Vänligen kontakta Swisscom Support för att få det åtgärdat. Detta är inte ett Zyxel-problem. En omstart av Swisscom Router (2-3 gånger) kan också tillfälligt åtgärda problemet.

Optimering av brandvägg för att skydda enheterna

Vi levererar många artiklar och säkerhetsfunktioner om hur du alltid kan hålla din enhet uppdaterad och ha ett optimalt brandväggsskydd.

[BEST PRACTICE] Firewall Maintenance, Config Protection, and CVE Attack Mitigation

Om du har några framtida frågor, kommentera bara den här artikeln, så kommer vi att kontakta dig inom kort.
Eller kontakta vårt supportteam!