ZyXEL 的 USG Flex H 系列 資安防火牆是一款混合雲端與地端操作的新世代防火牆,其 V1.32 (Axxx.0) 版韌體 於 2025 年 04 月 09 日發佈,提供關於 19 項功能增強與變更、40 項錯誤修正、1 項高度風險漏洞修補、1 項中度風險漏洞修補,建議使用者盡快進行更新,詳細內容請繼續閱讀。
V1.32 (Axxx.0) 版韌體中的增強與修正的功能:
1. [增強] 支援 DoT/DoH 阻斷。
2. [增強] 支援應用程式巡邏允許列表,僅允許指定的應用程式。 [eITS#240900222]。
3. [增強] 支援登入強制入口網站(Web 驗證策略)。
行為變更通知:自 uOS 1.32 起,只有在 Captive Portal 身份驗證策略中列出的使用者才能透過裝置登入並存取網際網路。
最大身份驗證策略: 10
每項政策的最大豁免名單: 50
每項政策的最大Walled Garden: 30
4.[增強] 支援 Tailscale VPN。
5.[增強] IPsec VPN 支援 Bridge 介面。
6.[增強] 支援 LAG(鏈路聚合)介面。
7.[增強] 支援外部用戶群組。
8. [增強] 頻寬管理支援計劃、規則類型每個使用者和每個來源 IP。
9. [增強] 支援 AP 控制器與 Secure WiFi 服務、AP 控制器和 AP 管理的無線設定、支援 AP 控制器和 AP 日誌的設定和事件、支援AP控制器SNMP、Gold Security Pack 新增 Secure WiFi 服務並支援 a-la-carteSecure WiFi 許可證、支援 IEEE 802.1x 認證、支援APC智慧網格。
特別注意:遠端AP和隧道AP尚不支援;計劃於 2025 年 10 月發布支援。
USG FLEX 50H/50HP (預設:8AP / 最多 12AP)
USG FLEX 100H/100HP (預設:8AP / 最多 24AP)
USG FLEX 200H/200HP (預設:8AP / 最多 40AP)
USG FLEX 500H (預設:8AP / 最多 72AP)
USG FLEX 700H (預設:8AP / 最多 520AP)
10. [增強] 支援路由追蹤。 [eITS#230900984]
11. [增強] 設備 HA 增強:
a. 設備 SYS LED 顯示設備 HA 配對狀態。
b. 支援虛擬 MAC 演算法。
c. 設備 HA 狀態顯示完全同步。資訊配置/文件列表。
d. 支援暫停設備 HA 功能以進行故障排除。
e. 例如為了獲得更好的使用者體驗,透過 Device-HA 設定上的 GUI 上傳韌體時會出現提示。
12. [增強] 支援智慧同步:Nebula 與設備本地配置同步。
13. [增強] 支援 Nebula 自動連結 VPN(非 Nebula VPN)。
14. [增強] 支援 Nebula NAT、路由、安全性原則和防火牆設定。
15. [增強] 支援 Nebula 應用程式/客戶端使用情況監控。
16. [增強] 使用者體驗增強:
a. 當 wan 為 DHCP 用戶端時,在網路狀態 > 介面中新增「更新」按鈕。 [eITS#250100625]
b. 更新網路狀態 > DHCP 表中的「釋放」圖示。
c. 在介面設定頁面上,新增檢查靜態 IP 和子網路重疊的機制。
d. 更新遠端存取 IPsec 和 SSL VPN 的 i-note,使其更加清晰。
e. 裝置重新啟動事件電子郵件內容微調和更多資訊。
17. [功能變更]「我的憑證」和「信任憑證」分別限制最多10個憑證。
18. [功能變更] 刪除時 GUI 將不再自動生成乙太網路接口,而是發出警告; “eth” 接口現在將顯示在接口摘要中,自動刪除行為被刪除,並且如果存在沒有相應以太網接口的 VLAN 接口,則會出現新的警告。 [eITS#250200421]
19. [功能變更] 系統>設定刪除‘HTTP/HTTPS 認證伺服器’部分。
V1.32 (Axxx.0) 版韌體中的錯誤修復:
1. [eITS#160200757] HA 證書同步。問題。
2. [eITS#210800986] 增強功能:當 VPN 隧道第一階段完成時,自動將後端的來源 IP 列入白名單。
3. [eITS#221200441] 當從屬設備變為活動狀態時,頂部圖示列中的 SecuReporter 圖示將會遺失。
4. [eITS#240500400] SNMP 查詢沒有回應。
5. [eITS#240601358] 設備重啟後缺少服務組成員。
6. [eITS#241001254、241200549] 當包含字元「時,VPN 預先共用金鑰不起作用。
7. [eITS#241200131] 發送電子郵件報告需要 15 分鐘以上。
8. [eITS#241200902] SSL/TLS DoS 漏洞(停用 DHE)。
9. [eITS#241200916] 增強:預設支援消費模式,支援多種PoE設備。
10. [eITS#250100196] 增強:使用 Nebula 模式升級韌體時,韌體將在備用分區中更新。
11. [eITS#250100275] 安全性原則使用者過濾器不適用於 OpenVPN SSL 使用者帳戶。
12. [eITS#250100382] 沙盒功能導致防火牆意外重新啟動。
13. [eITS#250100489] 刪除未使用的 DOMPurify 套件。
14. [eITS#250100640、250201503] 使用轉換器之前需要刪除不支援的設定。
15. [eITS#250201503、250300781] 使用轉換器之前需要刪除不支援的設定。
16. [eITS#250100845、250101359] 登入防火牆後,儀表板未載入並彈出錯誤訊息。
17. [eITS#250100862] 除非刷新頁面,否則該檔案仍然存在於 USB 儲存體中的系統記錄檔頁面上。
18. [eITS#250101171] 測試網站類別功能無法運作。
19. [eITS#250101226] 在 Phase2 中更新 PFS 並儲存後,VPN 腳本不會更新新的 PFS 值(DH5)。
20. [eITS#250101289] 當選擇使用者「任意」時,將無法在 IKEv2 遠端存取 VPN 中對 RADIUS 使用者進行身份驗證。
21. [eITS#250101306] 事件日誌顯示多個「類別查詢失敗開啟」訊息。
22. [eITS#250101367] 一旦在 PuTTY 中將控制台速度設為 9600,防火牆就會在控制台輸出中產生噪音字元。
23. [eITS#250101511] USG FLEX 700H 上的連接埠 13 和連接埠 14 LED 燈不亮。
24. [eITS#250101598] 登入防火牆後,儀表板未載入並彈出錯誤訊息。
25. [eITS#250101643] 事件日誌顯示多個「類別查詢失敗開啟」訊息。
26. [eITS#250101686] 測試網站類別功能無法運作。
27. [eITS#250101765] 編輯配置時取得配置失敗訊息。
28. [eITS#250101835] 防火牆上的 Nebula 憑證大小為 0(空),導致防火牆無法取得許可證狀態。
29. [eITS#250200057] DNS 內容過濾器和 DNS 威脅過濾器服務會導致裝置重新啟動。
30. [eITS#250200097] 事件日誌顯示多個「類別查詢失敗開啟」訊息。
31. [eITS#250200141] DNS 過濾功能導致防火牆意外重新啟動。
32. [eITS#250200161] DNS 內容過濾和 DNS 威脅過濾服務會導致網路速度變慢。
33. [eITS#250200309] DNS 內容過濾功能導致防火牆意外重新啟動。
34. [eITS#250200344] 使用 Office 365 作為 SMTP 伺服器時接收空的警報內容。
35. [eITS#250200466] 路由狀態透過交換本地和遠端策略錯誤地顯示它們。
36. [eITS#250200608] 橋接介面和成員消失。
37. [eITS#250201019] GUI 顯示無法儲存/寫入啟動配置。
38. [eITS#250201655] USG FLEX 700H 隨機重啟。
39. [eITS#250301115] USG Flex 700H 意外重啟。
40. [eITS#250301533] 登入用戶顯示“-1”。
uOS1.32 不再容易受到以下 CVE 漏洞暴露的影響:
[7.8-高度] 漏洞編號:CVE-2025-1731
USG FLEX H 系列 uOS 韌體版本 V1.20 至 V1.31 的 PostgreSQL 命令中存在權限分配錯誤漏洞,允許經過身份驗證的本地低權限攻擊者存取 Linux shell,並透過編寫惡意腳本或透過竊取令牌以管理員級別存取權限修改系統配置來提升權限。僅當管理員未登出且令牌仍然有效時才可以修改系統配置。
美國國家漏洞數據庫:https://nvd.nist.gov/vuln/detail/CVE-2025-1731
[6.7-中度] 漏洞編號:CVE-2025-1732
USG FLEX H 系列 uOS 韌體版本 V1.31 及更早版本的恢復功能中存在不當的權限管理漏洞,可能允許經過身份驗證的具有管理員權限的本地攻擊者上傳精心設計的配置文件並在易受攻擊的設備上提升權限。
美國國家漏洞數據庫:https://nvd.nist.gov/vuln/detail/cve-2025-1732
V1.32 (Axxx.0) 版韌體中的已知問題:
Nebula
1. [ZNGA-5846][Reverse Tunnel] 使用者透過 Nebula Remote Configurator 登入時無法存取 Web 控制台頁面。
2. [ZNGA-7436] [Smart Sync] 如果使用者在 5 分鐘內同時在 Nebula Portal 和本機 GUI 上新增、修改或刪除物件設置,則變更可能不會在兩個介面之間同步。
[解決方法] 如果出現此問題,請前往 Nebula 入口網站並執行配置覆蓋來解決它。
System
1. [ZNGA-5762] PoE 配置與 GUI 狀態不一致。
2. [ZNGA-7192] 診斷收集需要太長時間才能完成收集。
3. [ZNGA-7493] 刪除某些物件(例如 LAG 介面)時,系統可能會顯示封鎖刪除的錯誤訊息,即使該物件的引用計數顯示為 0。
[解決方法]
(1)下載「startup-config.conf」檔案。
(2)在設定檔中搜尋物件名稱。
(3)利用物體的特徵來辨識其相關特徵。
(4)在 Local GUI 中修改或刪除相關設置,然後套用變更。
(5)重試刪除原始物件。
Network
1. [eITS#240700730] 自動 MAC 位址分配功能分配了錯誤的 MAC 位址,導致網路流量傳輸出現異常行為。
[解決方法] 手動設定介面 MAC 位址以覆寫預設 MAC 位址。
2. [ZNGA-4442] [eITS#240100505] NAT 工作數小時後無法正常運作。
3. [ZNGA-4037] [eITS#231000192] INTERFACE 類型應包含實體連結(第 1 層)、第 2 層連結和連通性檢查的狀態。
4. [ZNGA-5044] DHCP Relay 的上游介面不支援 PPPoE 介面(GUI 選擇清單仍顯示 PPPoE 介面)。
5. [ZNGA-5988] [DHCP 表] 修改不支援的主機名稱資料並保留後,某些資料將會遺失。
6. [ZNGA-6109] [Bridge][NAT] 如果啟用 NAT 環回,則無法存取同一橋接 LAN 上的裝置。
7. [ZNGA-7115] [LAG] 重新選擇策略「始終」無法運作,因為實體電纜已連接但其狀態顯示連結斷開。
8. [ZNGA-7168, 7215] [VLAN/LAG] 不支援 LAG 介面上的 VLAN。 LAG 介面上的 VLAN 無法取得 IP 位址。
9. [ZNGA-7480] [LAG] 使用靜態模式時,LAG 可能會出現流量轉送不穩定的情況。建議使用LACP模式,不要使用靜態模式。
IPsec VPN
1. 設備需要至少有一條預設路由用於 IPsec VPN 流量轉送。
2. 遠端存取IPsec VPN不支援輔助認證伺服器。
3. 當VPN隧道數量超過300個時,設備有時可能會無回應,不顯示狀態。
4. [ZNGA-5688] 基於政策的 IPSec VPN 不會繞過到其他子網路的直接路由。
User & Authentication
1. 2FA 有效時間不支援字元“+”。
2. 以管理員角色登入的 RADIUS 使用者將彈出更改密碼訊息。
3. [ZNGA-4518][AAA] 重啟後加入狀態為「尚未加入AD域」。
GUI
1. 系統儀表板小工具將需要一段時間才能載入。請等待儀表板小工具資料顯示完畢後再切換到其他 GUI 頁面。
2. [ZNGA-4999] 修改密碼頁面錯誤訊息不準確。
3. [ZNGA-6552] [設備洞察] 即使顯示授權已過期訊息,設備洞察功能仍可正常運作。
Log
1. [ZNGA-4447] [eITS#240101503] syslog 格式不符合 RFC。
Device-HA
1. 必須在兩個 Zyxel 設備上啟用系統 > SSH 下的 SSH 服務,且 SSH 連接埠必須保持設定為 22,以啟用設備 HA 同步。
2. [ZNGA-7245] [裝置 HA/Delta 配置] 暫停 HA 後,Delta 配置不一致,然後修改一些活動配置,然後停用暫停 HA。
Packet Flow Explore
1. [ZNGA-6768, ZNGA-6749] 當使用者是 AD/LDAP/Radius 使用者或使用者設定為「群組」且所有成員都登入時,使用者的工具提示顯示空白。
UTM
1. [ZNGA-7240] 編輯全類別應用規則後,載入時間較長,且規則有兩條。
Captive Portal
1. [ZNGA-7474] 即使第二因素驗證失敗,一旦第一因素驗證成功,流量仍然可以成功透過 Captive Portal 存取控制。
APC
1. 首次啟用 Smart Mesh 功能時,需重新啟動存取點以確保功能已正確啟動。
2. 使用 EAP-TLS 或 EAP-TTLS(MSCHAPv2)的 WPA2-Enterprise 驗證發生故障。
V1.32 (Axxx.0) 版韌體中的特別備註:
1. 不要使用分配給內部服務或系統服務的連接埠。分配已被其他服務或內部服務使用的連接埠可能會導致服務無法成功啟動。
內部服務連接埠(保留):
53/67-68/179/500/546-547/830/953/1812-1813/2601-2605/2616/3799/4500/5246-5247/5432/7681-7682/18121
內建系統服務連接埠 (可以新增或變更預設連接埠):
HTTP-80 / HTTPS-443 / Captive Portal HTTP-1080 / Captive Portal HTTPS-1443 / SSH-22 / SNMP-161 / FTP-21 / Remote SSL VPN-10443
2. 產生自簽名憑證或憑證要求過時的 SHA-1。
3. ZON Utility 不支援 H 系列型號。
4. 下表列出了 uOS 產品尚不支援的功能/特性:
Wireless
• Data tunneling
• Remote AP
• WiFi 7 MLO
• Smart Mesh MLO
• SSID scheduling
• Airtime fairness
• WMM
• Rogue AP detection
• Load balance
• Wireless bridge
• AP frame capture
• Collect AP diagnostic info
• WiFi Aid
• Top N report
Network
• IGMP Proxy
• Proxy ARP
• IPv6
• IPv6-in-IPv4 Tunnel
• 6to4 Tunnel
• GRE Tunnel
• Layer 2 Isolation
• DNS Load Balancing
Routing
• Policy Route Next Hop VPN Tunnel
• Dynamic Route (RIP/OSPF/BGP)
VPN
• VPN failover
Bandwidth Management (BWM)
• BWM for Transparent Bridge interface
Authentication
• Cloud Authentication
• Customize and Click-to-continue Captive Portal
• Zyxel Single Sign-On (with SSO Agent)
Security UTM
• Collaborative Detection & Response (CDR)
• ADP–Protocol anomaly rules (specific scenarios use only)
Management
• Nebula Summary Report
• Nebula Remote Access VPN
Hospitality
• Hotspot Management
Maintenance
• Shell script
• Firmware upgrade by USB
• Firmware upgrade by ZON utility
V1.32 (Axxx.0) 版韌體中的系統限制:
1. 不支援以下功能的名稱變更
(1) Interface name
(2) Policy Route rule name
(3) Static Route rule name
(4) Security Policy rule name
(5) NAT rule name
(6) IPsec Site-to-Site Rule name
(7) Security Services Profile name
2. [Port Group]
(1) USG FLEX 500H、USG FLEX 700H 的連接埠 1 和連接埠 2 不能與其他連接埠進行連接埠群組(Port Group)。
(2) USG FLEX 700H 的 13 號埠和 14 號埠不能和其他埠進行 Port Group。
3. [ZNGA-1649][Interface] 不支援同一網路上的多個介面連接,不同的介面不能在同一個 IP 子網路中設定 IP,ARP Flux 問題將導致意外的流量轉送行為。
例如,設定介面如下:
Ge1介面設定或取得IP:192.168.254.10/24
Ge2介面設定或取得IP:192.168.254.11/24
這表示 ge1 和 ge2 位於同一 IP 子網路 192.168.254.0/24
4. [ZNGA-3935][Remote Access VPN] 對於原生 iOS/macOS 設計,生命週期最小值為 10 分鐘。如果您設定的使用壽命少於 10 分鐘,則它無法正確連線到 iOS/macOS VPN 用戶端。查看iOS/macOS 參數參考:
https://developer.apple.com/documentation/devicemanagement/vpn/ikev2/ikesecurityassociationparameters
適用型號:
USG FLEX 50H / USG FLEX 50HP / USG FLEX 100H / USG FLEX 100HP / USG FLEX 200H / USG FLEX 200HP / USG FLEX 500H / USG FLEX 700H
沒有留言:
張貼留言