Před jízdou na místo si pozorně přečtěte celý článek a ujistěte se, že máte potřebný kabel!

Zjistili jsme problém týkající se několika zařízení, který může způsobovat smyčky restartování, selhání démona ZySH nebo problémy s přístupem k přihlášení. Může také blikat systémová LED dioda. Vezměte prosím na vědomí, že to nesouvisí s problémem CVE ani se zabezpečením.

Problém vyplývá z poruchy aktualizace aplikačních podpisů, nikoli z aktualizace firmwaru. Abychom to vyřešili, zakázali jsme na našich serverech podpis aplikací, čímž jsme zabránili dalšímu dopadu na firewally, které nenačetly nové verze podpisu.

Kterých zařízení se to týká?

Zařízení s aktivními licencemi zabezpečení řady USG FLEX nebo ATP (verze firmwaru ZLD) a vyhrazenými aktualizacemi podpisů v režimu On-premise/Standalone (podpis aktualizován 1/24 až 1/25 v noci).
Zařízení na platformě Nebula nebo USG FLEX řady H (uOS) NENÍ ovlivněno.

Jak jsem zjistil, že se mě to NE týká?

Přejděte do nabídky KONFIGURACE > Licencování > Aktualizace podpisu a zkontrolujte podpis App-Patrol.
Zkontrolujte, zda je verze 1.0.0.20250102.0 nebo 1.0.0.20241205.0.

Postižena jepouze verze "1.0.0.20250123.0" a je třeba postupovat podle SOP pro obnovu nebo RUČNĚ provést downgrade pomocí grafického rozhraní, pokud k němu ještě máte přístup.

Pokud jste také NEBYLI ovlivněni:

- Nebula.
- Používáte zařízení USG FLEX řady H
- nemáte v zařízení aktivní licence zabezpečení

Verze firmwaru s problémem NESOUVISÍ, rozhoduje pouze verze aplikace App Patrol.


Jediné plně ověřené řešení je následující; postupujte podle těchto kroků:

Poznámka pro zařízení HA:
Obnovení obou zařízení je třeba provést pomocí SOP v tomto článku a postupovat podle tohoto postupu: ZařízeníHA je třeba znovu nasadit.

Toto obnovení vyžaduje konzolový kabel a musí být provedeno na místě. Není to sice ideální, ale je to jediné zaručené řešení tohoto problému.

Obnovení pomocí SSH, FTP nebo webového rozhraní není proveditelné.

Příprava obnovy

První povinnou věcí, kterou budete potřebovat, je konzolový kabel / kabel RS232, abyste mohli začít s obnovou.
Obnovení musí být provedeno na místě a není možné jej provést pomocí vzdálené relace.
CLI přes konzolový kabel [Zařízení Zyxel] - Konzola pro přístup k sériovému portu a použití úrovně ladění 8 [Putty a TeraTerm] Přenosová rychlost: 115200!

Krok 1: Zálohování konfigurace
(je třeba provést pouze v případě, že nemáte místní zálohu)

1) Připojte konzolový kabel, jak je vysvětleno v části"Příprava obnovy".

Problém může vypadat takto, ale může se projevit i jinak.

2) Restartujte zařízení a vstupte do režimu ladění zadáním na klávesnici, tj. několikrát klávesou Enter, když je připraveno "Enter Debug Mode.....".

3) Enter atkz -b

4) Enter atgo

5) V současné době je vaše zařízení ATP/FLEX resetováno na výchozí nastavení, ale soubor startup-config.conf je již zálohován. Připojte počítač k lan1 zařízení ATP/USG FLEX a získejte přímo IP adresu 192.168.1.33 DHCP.

6) V počítači otevřete příkaz cmd a zadejte ftp 192.168.1.1. Přihlaste se pomocí příkazu admin a hesla 1234.
Zadejte cd /conf a get startup-config-back.conf pro stažení záložního souboru.

Záložní soubor najdete ve svém počítači.

Krok 2: Obnovení
(Odstranění podpisu) přidáním nového firmwaru prostřednictvím konzoly
Pro úplné obnovení je nutné provést kroky 1-12!

[POKUD NEJSTE POSTIŽENI, NEMUSÍTE ŽÁDNÝ FIRMWARE AKTUALIZOVAT! TOTO JE POUZE OBNOVOVACÍ FIRMWARE PRO ODSTRANĚNÍ ŠPATNÉHO PODPISU Z ODDÍLU!].

Pro obnovu je vyžadován speciální firmware, pokračujte ve stahování!

Balíček firmwaru pro všechny modely ke stažení ZDE
Pokud potřebujete pouze jeden modelový soubor, naše komunitní fórum má tento soubor oddělený ZDE

1) Restartujte bránu Firewall

2) Stisknutím libovolné klávesy přejděte do režimu ladění

3) Zadejte následující příkaz (Nastavit server FTP)

atkz –f –l 192.168.1.1 

4) Zadejte následující příkaz (Restart do režimu FTP)

 atgof 

5) Nastavte počítač tak, aby používal statickou IP adresu 192.168.1.2 ~ 192.168.1.254.
(V některých scénářích může pomoci vypnutí WIFI).

6) Připojte počítač k prvnímu portu Ethernet zařízení ATP/USG FLEX. Například první port Ethernet zařízení USG FLEX 500 je P2.

7) Pomocí klienta FTP v počítači se připojte k zařízení ATP/USG FLEX. Tento příklad používá příkaz ftp v příkazovém řádku systému Windows. IP adresa serveru FTP zařízení ATP/USG FLEX pro obnovu firmwaru je 192.168.1.1.

8) Přihlaste se bez uživatelského jména (stačí stisknout klávesu enter).

9) Nastavte režim přenosu na binární "bin" a přeneste soubor firmwaru z počítače do zařízení ATP/USG FLEX.

Po stažení firmwaru zkopírujte cestu k němu. Nezapomeňte jej rozbalit a použít správný kód, tj. ABUJ = USG FLEX 500.

10) Po dokončení přenosu souboru FTP se v relaci konzoly zobrazí zpráva "Firmware received". Poté musíte počkat, než ATP/USG FLEX obnoví firmware (to může trvat až 10 minut). Po dokončení obnovy firmwaru se v relaci konzoly zobrazí zpráva "done". Poté se zařízení ATP/USG FLEX automaticky restartuje.

11) Přihlaste se do webového grafického rozhraní systému ATP/USG FLEX, nahrajte a použijte záložní konfigurační soubor pro obnovení zpět do funkčního scénáře. Ujistěte se, že jste po nahrání správně změnili IP adresu PC, protože brána Firewall může být opět přístupná pomocí IP ze záložního konfiguračního souboru.

Poznámka: Pokud jste již pro účet správce povolili ověřování 2FA a chcete jej během postupu obnovy obejít, před použitím záložního konfiguračního souboru zakažte nebo odstraňte konfiguraci související s 2FA. Tím zajistíte, že se budete moci normálně přihlásit k bráně firewall a obejít proces ověřování 2FA.

12) Ručně aktualizujte podpis App-Patrol na verzi 1.0.0.20250102.0.

Přejděte do nabídky KONFIGURACE > Licencování > Aktualizace podpisu a aktualizujte podpis App-Patrol ručně.
Ujistěte se, že verze je 1.0.0.20250102.0 nebo 1.0.0.20241205.0.

Sekce nejčastějších dotazů

1.) Funguje obnova pomocí FTP?

Ne, nemůže fungovat.

2.) Je vyžadováno obnovení na místě?

Ano, je to 100% funkční a navrhovaný způsob.

3.) Existuje nějaký jiný způsob, jak to mohu udělat na dálku?

Všechna vzdálená řešení by mohla mít site-affect jiných problémů. V budoucnu například nebude možné použít oddíl nebo Firmware Upload. Doporučujeme postupovat podle našich výše uvedených kroků. Někteří zákazníci však uvádějí, že mohli obnovit zařízení pomocí "Restartování", "Změny oddílu", Downgrade signatury prostřednictvím grafického rozhraní po Resetování zařízení. Tato šance je velmi vzácná a vzhledem k tomu, že řešení by mohlo v 99 % případů způsobit ztrátu konfiguračních souborů nebo nefunkčnost zařízení, nebo prostě neočekávanou nefunkčnost, nemůžeme se s vámi podělit o žádný případ použití tohoto řešení.

4.) Jak dlouho tento problém existuje?

Zákazník, který měl aktivní bezpečnostní licenci a nastavil Aplikační hlídku na denně "v noci" z časového hlediska, kde se to týká. Pak se podpis načítá po dobu 3 hodin do zařízení a restart nebo vysoké logy mohly zařízení přivést do tohoto problému.

5.) Proč se to netýká zařízení Nebula a USG FLEX H?

Zařízení USG FLEX H používá jinou verzi firmwaru (uOS) a má více ověřovacích scénářů ve firmwaru uOS pro podpis. Také Nebula mají po ruce pokročilé funkce ochrany "Remote Managed".

6.) Proč potřebuji aktualizovat firmware, když jsem postižen, a proč to nemohu provést na dálku?

Signature Issue vytváří mnoho protokolů, to způsobuje, že firmware nelze nahrát vzdáleně a je třeba provést krok obnovy pomocí Firmware Recovery (který je také součástí každého dokumentu Release Note). Kombinací "reset" po zálohování konfigurace a následným provedením aktualizace firmwaru přes konzoli lze související signatury a logy vyčistit. Přes Remote to není proveditelné, protože není dostatek volného místa ani pro nahrání firmwaru. Reset ze zařízení odstraní pouze konfigurační soubor, nikoliv ostatní informace uložené v oddílu, tj. certifikáty. Kdežto datový kód firmwaru vyčistí oblast oddílů s problémy.

7.) Co se stane, když jsem obnovil zařízení, ale nenainstaloval opravný firmware?

Pak můžete používat pouze oddíl, na kterém se právě nacházíte (Running), pohotovostní oddíl je plný a nelze jej již používat, pokud není provedeno obnovení. Takže aktualizace firmwaru je třeba vždy aplikovat na oddíl Running.

Pokud jste se zasekli s programem Recover SOP na jakýchkoli potřebách, neváhejte se obrátit na náš tým podpory, který vám pomůže ve vašem místním jazyce - Jak kontaktovat tým podpory?