如何辨識、復原及防範此資安事件
Zyxel Employee
https://www.zyxel.com/tw/zh/support/Zyxel_security_advisory_for_attacks_against_security_appliances.shtml
我們強烈建議將您手上的 ZYXEL 資安設備升級至韌體版本 ZLD4.65/5.02 以降低資安事件發生的風險。
注意事項:
或登入 Myzyxel.com 網站下載對應的韌體至您本地端的 PC 再做升級動作。
密碼變更提醒(Password notification) 與 防火牆規則檢查(security policy check) 是這次版本新增的設計,請依下列的步驟進行最佳化設備的防護。
密碼變更提醒(Password change notification)
在升級韌體至4.65/5.02 之後,當你第一次登入設備時會跳出密碼變更提醒通知,這包含了:
a. 所有最高權限(admin-type user)帳號清單
b. 最後一次變更密碼的日期
c. 密碼的有效期限
我們強烈建議再次變更所有最高權限帳號的密碼(admin-type password)並移除可疑的最高權限帳號。
防火牆規則檢查(Security Policy Check)
檢視是否有沒有任何來源限制之 WAN 到 ZyWALL 的 HTTPS/SSL VPN 服務規則, 會有一頁安全性檢查通知(Security Check Notification page) 跳出來,請依照引導精靈去變更 HTTPS/ SSL VPN 的服務 Port 加上可信任的來源 IP,並變更雙因子認證(2FA)的服務 Port。
在完成之後,系統將會自動建立對應的防火牆規則。
注意事項: 如果您變更了設備網頁管理的預設服務 Port,接下來你需要改用新的管理 Port 號來做登入。
我們也強烈建議您將設備所有的設定做一次檢視以確認設備之設定是否可能被入侵異動,我們已知的狀況是,被入侵異動的設備會被植入非法的管理帳號、政策路由及防火牆規則來入侵你的網路。
刪除來路不明的帳號
移除可疑的防火牆規則
如果您沒辦法立刻做最新版韌體的更新,請參照下列連結來限制遠端管理以減少遭遇此一問題的風險,然而最好的解決方案依舊是更新至最新釋出的韌體。
