Bitte lesen Sie den gesamten Artikel sorgfältig durch, bevor Sie vor Ort fahren, und stellen Sie sicher, dass Sie über das erforderliche Kabel verfügen!

Wir haben ein Problem gefunden, das einige Geräte betrifft und zu Reboot-Schleifen, ZySH-Daemon-Fehlern oder Problemen beim Login-Zugriff führen kann. Auch die System-LED kann blinken. Bitte beachten Sie, dass dies nicht mit einem CVE- oder Sicherheitsproblem zusammenhängt.

Das Problem rührt von einem Fehler im Application Signature Update her, nicht von einem Firmware-Upgrade. Um dieses Problem zu beheben, haben wir die Anwendungssignatur auf unseren Servern deaktiviert, um weitere Auswirkungen auf Firewalls zu verhindern, die die neuen Signaturversionen nicht geladen haben.

Welche Geräte sind betroffen?

Geräte mit aktiven Sicherheitslizenzen auf der USG FLEX- oder ATP-Serie (ZLD-Firmware-Versionen) und dedizierten Signatur-Updates im On-Premise/Standalone-Modus (Signatur-Update 1/24 bis 1/25 in der Nacht).
Geräte auf der Plattform Nebula oder der USG FLEX H (uOS) Serie sind NICHT betroffen.

Woher weiß ich, ob ich NICHT betroffen bin ?

Gehen Sie zu KONFIGURATION > Lizenzierung > Signatur-Update und überprüfen Sie die App-Patrol-Signatur.
Stellen Sie sicher, dass die Version 1.0.0.20250102.0 oder 1.0.0.20241205.0 lautet.

Nur die Version "1.0.0.20250123.0" ist betroffen und Sie müssen die SOP zur Wiederherstellung befolgen oder ein MANUELLES Downgrade über die GUI durchführen, wenn Sie noch Zugang haben.

Sie sind auch NICHT betroffen, wenn Sie:

- Nebula verwenden
- USG FLEX H-Serie verwenden
- keine aktiven Sicherheitslizenzen auf dem Gerät haben

Die Firmware-Version hat KEINEN Einfluss auf das Problem, nur die App Patrol-Version ist ausschlaggebend.


Die einzige vollständig verifizierte Lösung ist die folgende; bitte befolgen Sie diese Schritte:

Hinweis für Device HA:
Beide Geräte müssen mit Hilfe der SOP in diesem Artikel wiederhergestellt werden, und zwar mit Hilfe dieser HA-Neuinstallation.

Diese Wiederherstellung erfordert ein Konsolenkabel und muss vor Ort durchgeführt werden. Es ist zwar nicht ideal, aber die einzige garantierte Lösung für dieses Problem.

Eine Wiederherstellung per SSH, FTP oder Webinterface ist nicht möglich.

Vorbereitung der Wiederherstellung

Das erste, was Sie unbedingt brauchen, ist ein Konsolen-/RS232-Kabel, um mit der Wiederherstellung zu beginnen.
Die Wiederherstellung muss vor Ort durchgeführt werden und ist nicht über eine Remote-Sitzung möglich.
CLI über Konsolenkabel [Zyxel-Geräte] - Konsole für den Zugriff auf die serielle Schnittstelle und die Verwendung der Debug-Ebene 8 [Putty & TeraTerm] Baudrate: 115200!

Schritt 1: Konfiguration sichern
(muss nur ausgeführt werden, wenn Sie kein lokales Backup haben)

1) Schließen Sie das Konsolenkabel wie unter"Vorbereitung der Wiederherstellung" beschrieben an.

Das Problem könnte wie folgt aussehen, kann sich aber auch anders darstellen.

2) Starten Sie das Gerät neu und rufen Sie den Debug-Modus auf, indem Sie auf der Tastatur z. B. mehrmals die Eingabetaste drücken, wenn Sie bereit sind "Enter Debug Mode.....".

3) Enter atkz -b

4) Enter atgo

5) Derzeit ist Ihr ATP/FLEX auf die Standardeinstellungen zurückgesetzt, aber die startup-config.conf ist bereits gesichert. Verbinden Sie Ihren Computer mit dem lan1 des ATP/USG FLEX, um direkt die DHCP-IP-Adresse 192.168.1.33 zu erhalten.

6) Öffnen Sie auf Ihrem Computer cmd und geben Sie ftp 192.168.1.1 ein. Melden Sie sich mit admin und dem Passwort 1234 an.
Geben Sie cd /conf und get startup-config-back.conf ein, um die Sicherungsdatei herunterzuladen.

Sie finden die Sicherungsdatei auf Ihrem Computer.

Schritt 2: Wiederherstellung
(Löschen der Signatur) durch Hinzufügen einer neuen Firmware über die Konsole
Schritt 1-12 ist für eine vollständige Wiederherstellung erforderlich!

[WENN SIE NICHT BETROFFEN SIND, MÜSSEN SIE KEINE FIRMWARE AKTUALISIEREN! DIES IST NUR EINE WIEDERHERSTELLUNGS-FIRMWARE, UM DIE FEHLERHAFTE SIGNATUR AUS DER PARTITION ZU LÖSCHEN].

Eine spezielle Firmware ist für die Wiederherstellung erforderlich, bitte fahren Sie mit dem Download fort!

Alle Modell-Firmware-Pakete HIERherunterladen
Wenn Sie nur eine einzelne Modelldatei benötigen, finden Sie diese getrennt in unserem Community Forum HIER

1) Firewall neu starten

2) Drücken Sie eine beliebige Taste, um in den Debug-Modus zu gelangen

3) Geben Sie den folgenden Befehl ein (FTP-Server einstellen)

atkz –f –l 192.168.1.1 

4) Geben Sie den folgenden Befehl ein (Reboot to FTP Mode)

 atgof 

5) Stellen Sie Ihren Computer auf eine statische IP-Adresse von 192.168.1.2 ~ 192.168.1.254
(WIFI deaktivieren könnte in einigen Szenarien helfen)

6) Verbinden Sie Ihren Computer mit dem ersten Ethernet-Port des ATP/USG FLEX. Der erste Ethernet-Port der USG FLEX 500 ist zum Beispiel P2.

7) Verwenden Sie einen FTP-Client auf Ihrem Computer, um eine Verbindung zu ATP/USG FLEX herzustellen. In diesem Beispiel wird der Befehl ftp in der Windows-Eingabeaufforderung verwendet. Die IP-Adresse des FTP-Servers von ATP/USG FLEX für die Wiederherstellung der Firmware lautet 192.168.1.1

8) Melden Sie sich ohne Benutzernamen an (drücken Sie einfach die Eingabetaste)

9) Stellen Sie den Übertragungsmodus auf binär "bin" und übertragen Sie die Firmware-Datei von Ihrem Computer zum ATP/USG FLEX.

Kopieren Sie den Pfad der Firmware, nachdem Sie sie heruntergeladen haben. Stellen Sie sicher, dass Sie die Datei entpacken und den richtigen Code verwenden, z. B. ABUJ = USG FLEX 500.

10) Die Konsolensitzung zeigt nach Abschluss der FTP-Dateiübertragung "Firmware received" an. Dann müssen Sie warten, während ATP/USG FLEX die Firmware wiederherstellt (dies kann bis zu 10 Minuten dauern). Die Konsolensitzung zeigt "done" an, wenn die Wiederherstellung der Firmware abgeschlossen ist. Danach startet ATP/USG FLEX automatisch neu.

11) Melden Sie sich bei der Web-GUI von ATP/USG FLEX an, laden Sie die Sicherungskonfigurationsdatei hoch und wenden Sie sie an, um das Arbeitsszenario wiederherzustellen. Stellen Sie sicher, dass Sie die IP-Adresse des PCs nach dem Hochladen korrekt ändern, da die Firewall über die IP-Adresse aus der Backup-Konfigurationsdatei wieder zugänglich ist.

Hinweis: Wenn Sie die 2FA-Authentifizierung für das Administratorkonto bereits aktiviert haben und diese während des Wiederherstellungsvorgangs umgehen möchten, deaktivieren oder entfernen Sie bitte die 2FA-bezogene Konfiguration aus der Backup-Konfigurationsdatei, bevor Sie sie anwenden. Dadurch wird sichergestellt, dass Sie sich normal bei der Firewall anmelden und die 2FA-Authentifizierung umgehen können.

12) App-Patrol-Signatur manuell auf 1.0.0.20250102.0 aktualisieren

Gehen Sie zu KONFIGURATION > Lizenzierung > Signatur-Update und aktualisieren Sie die App-Patrol-Signatur manuell.
Stellen Sie sicher, dass die Version 1.0.0.20250102.0 oder 1.0.0.20241205.0 lautet.

FAQ Abschnitt

1.) Funktioniert eine Wiederherstellung per FTP?

Nein, das kann nicht funktionieren.

2.) Ist eine Vor-Ort-Wiederherstellung erforderlich?

Ja, dies ist eine 100%ig funktionierende und empfehlenswerte Methode.

3.) Gibt es noch eine andere Möglichkeit, dies per Fernzugriff zu tun?

Alle Remote-Lösungen können Auswirkungen auf andere Probleme haben. Zum Beispiel können Sie eine Partition oder den Firmware-Upload in Zukunft nicht mehr verwenden. Wir empfehlen Ihnen, unsere obigen Schritte zu befolgen. Einige Kunden berichten jedoch, dass sie das Gerät mit "Neustart", "Partitionsänderungen", Downgrade-Signatur über die GUI nach dem Zurücksetzen des Geräts wiederherstellen konnten. Diese Möglichkeit ist sehr selten und da in 99% der Fälle Konfigurationsdateien verloren gehen, das Gerät nicht mehr funktioniert oder einfach unerwartet nicht mehr funktioniert, können wir keinen Anwendungsfall für diese Lösung nennen.

4.) Wie lange besteht dieses Problem?

Kunden, die eine aktive Sicherheitslizenz hatten und Application Patrol täglich "in der Nacht" einrichteten, waren zeitlich gesehen betroffen. Dann wurde die Signatur für 3 Stunden in die Geräte geladen und ein Neustart oder hohe Logs konnten das Gerät in dieses Problem bringen.

5.) Warum sind Nebula und USG FLEX H nicht betroffen?

USG FLEX H verwendet eine andere Firmware-Version (uOS) und hat mehr Überprüfungsszenarien in der uOS-Firmware für die Signatur. Außerdem verfügt Nebula über erweiterte "Remote Managed" Schutzfunktionen.

6.) Warum muss ich die Firmware aktualisieren, wenn ich betroffen bin, und warum kann ich es nicht aus der Ferne tun?

Das Signaturproblem erzeugt eine Menge Protokolle, was dazu führt, dass die Firmware nicht per Fernzugriff hochgeladen werden kann und ein Wiederherstellungsschritt per Firmware-Wiederherstellung (der auch Teil jedes Release Note Dokuments ist) ausgeführt werden muss. Mit der Kombination aus "Reset" nach dem Backup der Konfiguration und der anschließenden Ausführung des Firmware-Upgrades über die Konsole können die zugehörigen Signaturen und Protokolle bereinigt werden. Über Remote ist dies nicht möglich, da nicht einmal genügend freier Speicherplatz zum Hochladen der Firmware vorhanden ist. Ein Reset vom Gerät löscht nur die Konfigurationsdatei, nicht aber die anderen auf der Partition gespeicherten Informationen wie z.B. Zertifikate. Wobei die Datecode-Firmware den Bereich der Issues-Partition aufräumt.

7.) Was passiert, wenn ich das Gerät wiederhergestellt, aber nicht die Fix-Firmware installiert habe?

Dann können Sie nur die Partition verwenden, auf der Sie sich gerade befinden (Running), die Standby-Partition ist voll und kann nicht mehr verwendet werden, es sei denn, eine Wiederherstellung wird durchgeführt. Firmware-Upgrades müssen also immer auf die laufende Partition angewendet werden.

Wenn Sie mit dem Recover SOP nicht weiterkommen, wenden Sie sich bitte an unser Support Team, um Hilfe in Ihrer Landessprache zu erhalten - Wie kann ich das Support Team kontaktieren?