Важно известие: |
Моля, прочетете внимателно цялата статия, преди да шофирате на място, и се уверете, че разполагате с необходимия кабел!
Открихме проблем, засягащ няколко устройства, който може да доведе до цикли на рестартиране, неуспехи на демона ZySH или проблеми с достъпа за вход. Системният светодиод също може да мига. Моля, обърнете внимание, че това не е свързано с CVE или проблем със сигурността.
Проблемът се дължи на неуспех при обновяването на сигнатурата на приложението, а не на обновяване на фърмуера. За да се справим с този проблем, деактивирахме сигнатурата на приложението на нашите сървъри, предотвратявайки по-нататъшно въздействие върху защитните стени, които не са заредили новите версии на сигнатурата.
| Грешка на устройството: Грешна команда на CLI, изтичане на времето на устройството или излизане от устройството. |
| Невъзможност за влизане в ATP/USG FLEX чрез уеб графичен интерфейс: 504 Изтичане на времето на шлюза. |
| Използването на процесора е високо. |
| В менюто Monitor (Монитор) > Log (Дневник) се появява съобщението "ZySH daemon is busy" (Демонът ZySH е зает). |
| Невъзможно е да се въведат каквито и да било команди в конзолата. |
| На конзолата се появяват съобщения от Coredump. |
Кои устройства са засегнати?
Устройства с активни лицензи за сигурност на USG FLEX или ATP Series (версии на фърмуера ZLD) и специализирани актуализации на сигнатури в режим On-premise/Standalone (сигнатурата е актуализирана 1/24 до 1/25 през нощта).
Устройствата на платформа Nebula или серия USG FLEX H (uOS) НЕ са засегнати.
Как разбрах дали НЕ съм засегнат?
Отидете в CONFIGURATION (Конфигурация) > Licensing (Лицензиране) > Signature Update (Актуализация на сигнатурата) и проверете сигнатурата на App-Patrol.
Уверете се, че версията е 1.0.0.20250102.0 или 1.0.0.20241205.0
Засегната есамо версията "1.0.0.20250123.0" и трябва да следвате СОП за възстановяване или да понижите ръчно версията чрез графичен интерфейс, ако все още имате достъп.
Вие също НЕ сте засегнати, ако сте:
- използвате Nebula
- използвате USG FLEX H Series
- нямате активни лицензи за сигурност на устройството
Версията на фърмуера НЕ Е СВЪРЗАНА с проблема, единствено версията на App Patrol е определяща.
Единственото напълно проверено решение е следното; моля, следвайте тези стъпки:
Забележка за Device HA:
И двете устройства трябва да бъдат възстановени, като се използва СОП в тази статия и да се премине напред, като се следва това пренасочване на HA.
Това възстановяване изисква конзолен кабел и трябва да се извърши на място. Въпреки че не е идеално, това е единственото гарантирано решение за този проблем.
Възстановяването чрез SSH, FTP или уеб интерфейс не е възможно.
Подготовка на възстановяването
Първото задължително нещо, от което ще се нуждаете, е конзолен / RS232 кабел, за да започнете възстановяването.
Възстановяването трябва да се извърши на място и не може да се извърши чрез отдалечена сесия.
CLI чрез конзолен кабел [Zyxel Devices] - Конзола за достъп до серийния порт и използване на ниво за отстраняване на грешки 8 [Putty & TeraTerm ] Скорост на предаване: 115200!
Стъпка 1: Архивиране на конфигурацията
(трябва да се изпълни само ако нямате локално резервно копие)
1) Свържете конзолния кабел, както е обяснено в"Подготовка на възстановяването".
Проблемът може да изглежда по следния начин, но може да се прояви и по различен начин.
2) Рестартирайте устройството и влезте в режим за отстраняване на грешки, като напишете на клавиатурата, т.е. клавиш Enter няколко пъти, когато е готов "Enter Debug Mode.....".
3) Enter atkz -b
4) Enter atgo
5) Понастоящем вашето ATP/FLEX е възстановено по подразбиране, но файлът startup-config.conf вече е архивиран. Свържете компютъра си към lan1 на ATP/USG FLEX, за да получите директно DHCP IP адрес 192.168.1.33.
6) На компютъра си отворете cmd и въведете ftp 192.168.1.1. Влезте с admin и парола 1234.
Въведете cd /conf и get startup-config-back.conf, за да изтеглите резервния файл.
Можете да намерите резервния файл на компютъра си.
Стъпка 2: Възстановяване
(Изтриване на подписа) чрез добавяне на нов фърмуер чрез конзолата
Стъпка 1-12 е необходима за пълно възстановяване!
[АКО НЕ СТЕ ЗАСЕГНАТИ, НЕ Е НЕОБХОДИМО ДА ОБНОВЯВАТЕ НИКАКЪВ ФЪРМУЕР! ТОВА Е САМО ФЪРМУЕР ЗА ВЪЗСТАНОВЯВАНЕ, ЗА ДА ИЗТРИЕТЕ ЛОШИЯ ПОДПИС ОТ ДЯЛА!]
За възстановяването се изисква специален фърмуер, моля, продължете с изтеглянето!
Изтеглете пакета с фърмуер за всички модели ТУК
Ако се нуждаете само от един файл на модела, в нашия форум на общността той е отделен ТУК
1) Рестартирайте защитната стена
2) Натиснете който и да е клавиш, за да влезете в режим за отстраняване на грешки
3) Въведете следната команда (Задаване на FTP сървър)
atkz –f –l 192.168.1.1
4) Въведете следната команда (Презареждане в режим FTP)
atgof
5) Настройте компютъра си да използва статичен IP адрес от 192.168.1.2 ~ 192.168.1.254
(Деактивирането на WIFI може да помогне при някои сценарии)
6) Свържете компютъра си към първия Ethernet порт на ATP/USG FLEX. Например, първият Ethernet порт на USG FLEX 500 е P2.
7) Използвайте FTP клиент на компютъра си, за да се свържете с ATP/USG FLEX. В този пример се използва командата ftp в командния ред на Windows. IP адресът на FTP сървъра на ATP/USG FLEX за възстановяване на фърмуера е 192.168.1.1
8) Влезте в системата без потребителско име (просто натиснете Enter)
9) Задайте режим на прехвърляне на двоичен код "bin" и прехвърлете файла с фърмуера от компютъра си към ATP/USG FLEX.
Копирайте пътя на фърмуера, след като сте го изтеглили. Не забравяйте да го разархивирате и да използвате правилния код, т.е. ABUJ = USG FLEX 500.
10) В конзолната сесия се показва "Firmware received" (Получен фърмуер) след приключване на прехвърлянето на FTP файла. След това трябва да изчакате, докато ATP/USG FLEX възстанови фърмуера (това може да отнеме до 10 минути). В конзолната сесия се извежда надпис "Done" (Приключено), когато възстановяването на фърмуера приключи. След това ATP/USG FLEX се рестартира автоматично.
11) Влезте в уеб графичния потребителски интерфейс на ATP/USG FLEX, качете и приложете резервния конфигурационен файл, за да възстановите отново работния сценарий. Уверете се, че сте променили IP адреса на компютъра, след като качването е извършено правилно, тъй като защитната стена може да бъде достъпна чрез IP от резервния конфигурационен файл отново.
Забележка: Ако вече сте активирали 2FA удостоверяване за администраторския акаунт и искате да го заобиколите по време на процедурата за възстановяване, моля, деактивирайте или премахнете конфигурацията, свързана с 2FA, от резервния конфигурационен файл, преди да го приложите. Това гарантира, че можете да влезете нормално в защитната стена и да заобиколите процеса на 2FA удостоверяване.
12) Актуализиране на сигнатурата на App-Patrol до 1.0.0.20250102.0 ръчно
Отидете в CONFIGURATION (Конфигурация) > Licensing (Лицензиране) > Signature Update (Актуализация на сигнатурата) и актуализирайте ръчно сигнатурата App-Patrol.
Уверете се, че версията е 1.0.0.20250102.0 или 1.0.0.20241205.0.
Раздел "Често задавани въпроси
1.) Работи ли възстановяването чрез FTP?
Не, не може да работи.
2.) Изисква ли се възстановяване на място?
Да, това е 100% работещ и предлаган начин.
3.) Има ли друг начин, по който мога да направя това дистанционно?
Всички отдалечени решения могат да имат site-affect на други въпроси. Например може да не можете да използвате дял или да качите фърмуер в бъдеще. Предлагаме ви да следвате нашите стъпки по-горе. Въпреки това някои клиенти съобщават, че са могли да възстановят устройството с "Рестартиране", "Промени в дяловете", понижаване на сигнатурата чрез графичния потребителски интерфейс след нулиране на устройството. Шансът е много рядък и тъй като решението може да загуби конфигурационните файлове или да не работи в 99% от случаите или просто да направи устройството нефункционално неочаквано, не можем да споделим никакъв случай на употреба за това.
4.) Откога съществува този проблем?
Клиентите, които са имали активен лиценз за сигурност и са настроили приложението "Патрул" на ежедневно "през нощта" от гледна точка на времето, където са засегнати. След това подписът се зарежда за 3 часа в устройствата и рестартиране или високи логове могат да доведат устройството до този проблем.
5.) Защо Nebula и USG FLEX H не са засегнати?
USG FLEX H използва различна версия на фърмуера (uOS) и има повече сценарии за проверка във фърмуера на uOS за подписване. Също така Nebula разполага с усъвършенствани функции за защита "Remote Managed".
6.) Защо трябва да обновя фърмуера, когато съм засегнат, и защо не мога да го направя дистанционно?
Проблемът със сигнатурата създава много логове, поради което фърмуерът не може да бъде качен дистанционно и трябва да се изпълни стъпка за възстановяване чрез Firmware Recovery (която също е част от всеки документ Release Note). С комбинацията от "нулиране" след създаване на резервно копие на конфигурацията, след което се изпълнява обновяване на фърмуера чрез конзола, свързаните с това подпис и журнал могат да бъдат изчистени. Чрез Remote това не е осъществимо, тъй като няма достатъчно свободно място дори за качване на фърмуера. Нулирането от устройството изтрива само файла с конфигурацията, но не и другата информация, запазена в дяла, т.е. сертификатите. Когато фърмуерът с код за данни почиства областта на дяла с въпроси.
7.) Какво се случва, ако възстановя устройството, но не съм инсталирал фърмуера за поправка?
Тогава можете да използвате само дяла, на който се намирате в момента (Running), резервният дял е пълен и не може да се използва повече, освен ако не се изпълни възстановяване. Така че актуализациите на фърмуера трябва да се прилагат винаги към дяла Running.
Ако по някакъв начин сте се затруднили със СОП за възстановяване, не се колебайте да се свържете с нашия екип за поддръжка, за да получите помощ на местния си език - Как да се свържете с екипа за поддръжка?