ZyXEL 的 ATP 系列 沙箱防火牆與 USG Flex 系列 資安防火牆 V5.36 (ABxx.2) 版韌體 於 2023 年 05 月 24 日發佈。
在 2023 年 5 月 23 日,ZyXEL 發現全球的 USG 系列產品正受到惡意大規模的緩衝區溢出攻擊!該攻擊可能導致對外網路或 VPN 連線中斷、網頁管理介面無法存取或設備當機等現象。為防止此攻擊帶來網路中斷的問題,建議立即安裝修補的更新韌體。
V5.36 (ABxx.2) 版韌體中修復的功能:
Modifications in V5.36(ABxx.2)C0
[On Premises mode] - [本地模式] & [On Cloud mode] [雲端模式]
1. 常見漏洞及暴露:
ZLD5.36 Patch2 不再容易受到以下 CVE 參考的攻擊:
> CVE-2023-33009 (防火牆通知功能中的緩衝區溢出漏洞可能允許未經身份驗證的攻擊者造成拒絕服務 (DoS) 情況,甚至在受影響的設備上遠程執行代碼。)
> CVE-2023-33010 (防火牆 ID 處理功能中的緩衝區溢出漏洞可能允許未經身份驗證的攻擊者造成 DoS 情況,甚至在受影響的設備上遠程執行代碼。)
=====================================================
適用型號:
ATP100 / ATP200 / ATP500 / ATP700 / ATP800
USG FLEX 50 / USG FLEX 100 / USG FLEX 200 / USG FLEX 500 / USG FLEX 700
針對此次緩衝區溢出攻擊的修復,各系列須更新下面的韌體版本,以進行修復。
USG FLEX系列:ZLD V5.36P2
ATP 系列:ZLD V5.36P2
VPN 系列:ZLD V5.36P2
USG/ZyWALL系列:ZLD V4.73P2
USG FLEX 50(W) / USG20(W)-VPN系列:ZLD V5.36 P2
針對受影響的設備型號,如果有任何原因無法立即升級至公告中修正版本,建議可以透過以下方法強化保護設備,後續仍建議升級到(ZLD V5.36P2或ZLD V4.73P2)來獲得保護。
1. 如果沒有 IPSec VPN 及遠端管理的需求,請在安全性策略-策略控制將 WAN_to_Device 此條規則直接停用。
2. 如果有 IPSec VPN 及遠端管理的需求,請在安全性策略-策略控制將 WAN_to_Device 此條規則務必指定”來源IP”。
3. 如果有 IPSec VPN / SSL VPN 及遠端管理的需求,且無法確認來源 IP 的情況下,請在安全性策略-策略控制將 WAN_to_Device 此條規則指定”來源 Geo IP”,藉由設定縮限允許連線的 IP 國別,減少攻擊面。
4. LAN 端請在防火牆系列設備上管理服務控制中新增管理服務控制來源 IP 位置,或設定策略控制允許可以連線的來源 IP 來避免非法連線。
沒有留言:
張貼留言