Aviso importante: |
Lea detenidamente el artículo completo antes de desplazarse y asegúrese de que dispone del cable necesario.
Hemos encontrado un problema que afecta a unos pocos dispositivos que pueden causar bucles de reinicio, fallos del demonio ZySH, o problemas de acceso de inicio de sesión. El LED del sistema también puede parpadear. Por favor, ten en cuenta que esto no está relacionado con un CVE o un problema de seguridad.
El problema proviene de un fallo en la Actualización de Firma de Aplicación, no de una actualización de firmware. Para solucionarlo, hemos desactivado la firma de la aplicación en nuestros servidores, lo que evita un mayor impacto en los cortafuegos que no han cargado las nuevas versiones de la firma.
| Error de dispositivo: Comando CLI incorrecto, tiempo de espera del dispositivo o cierre de sesión del dispositivo. |
| No se puede iniciar sesión en ATP/USG FLEX a través de la GUI web: 504 Tiempo de espera de la puerta de enlace. |
| El uso de la CPU es elevado. |
| En Monitor > Log, aparece el mensaje "ZySH daemon is busy". |
| No se puede introducir ningún comando en la consola. |
| Aparecen mensajes Coredump en la consola. |
¿Qué dispositivos están afectados?
Dispositivos con licencias de seguridad activas en USG FLEX o ATP Series (ZLD Firmware Versions) y actualizaciones de firma dedicadas en On-premise/Standalone Mode (firma actualizada 1/24 a 1/25 por la noche).
Los dispositivos de la plataforma Nebula o de la serie USG FLEX H (uOS) NO están afectados.
¿Cómo puedo saber si NO estoy afectado?
Vaya a CONFIGURACIÓN > Licencias > Actualización de firmas y compruebe la firma de App-Patrol.
Asegúrese de que la versión es 1.0.0.20250102.0 o 1.0.0.20241205.0
Sólo la versión "1.0.0.20250123.0" está afectada y necesita seguir el SOP para recuperarse o hacer el downgrade MANUALMENTE por GUI si todavía tiene acceso.
Tampoco está afectado si
- Utiliza Nebula
- Utiliza USG FLEX Serie H
- No tiene licencias de seguridad activas en el dispositivo
La versión del Firmware no está relacionada con el problema, sólo la versión de la App Patrol es la que decide.
La única solución totalmente verificada es la siguiente; por favor siga estos pasos:
Nota para Device HA:
Ambos dispositivos necesitan ser recuperados usando el SOP en este artículo y avanzar siguiendo este HA redeploy.
Esta recuperación requiere un cable de consola y debe realizarse in situ. Aunque no es lo ideal, es la única solución garantizada para este problema.
Una recuperación por SSH, FTP o Webinterface no es factible.
Preparación de la recuperación
La primera cosa obligatoria que necesitará es un cable de Consola / RS232 para comenzar con la recuperación.
La recuperación debe hacerse en el sitio y no se puede hacer por una sesión remota.
CLI vía Cable de Consola [Zyxel Devices] - Consola para Acceder al Puerto Serie y Usar Debug nivel 8 [Putty & TeraTerm ] Baud Rate: ¡115200!
Paso 1: Copia de seguridad de la configuración
(sólo es necesario ejecutar si no tiene una copia de seguridad local)
1) Conecte el cable de consola como se explica en"Preparación de la recuperación".
El problema podría verse así, pero también podría mostrarse diferente.
2) Reinicie el dispositivo y entre en modo depuración escribiendo en el teclado, es decir, tecla Enter varias veces cuando esté listo "Enter Debug Mode....."
3) Enter atkz -b
4) Enter atgo
5) Actualmente, su ATP/FLEX está restablecido a los valores por defecto pero el startup-config.conf ya está respaldado. Conecte su computadora al lan1 del ATP/USG FLEX para obtener la dirección IP DHCP 192.168.1.33 directamente.
6) En su ordenador, abra cmd e introduzca ftp 192.168.1.1. Inicie sesión con admin y la contraseña 1234.
Introduzca cd /conf y obtenga startup-config-back.conf para descargar el archivo de copia de seguridad.
Puede encontrar el archivo de copia de seguridad en su ordenador.
Paso 2: Recuperación
(Borrar la Firma) añadiendo un nuevo Firmware a través de la Consola
Los pasos 1-12 son necesarios para una recuperación completa.
[¡SI USTED NO ESTA AFECTADO NO NECESITA ACTUALIZAR NINGUN FIRMWARE! ESTE ES SOLO UN FIRMWARE DE RECUPERACIÓN PARA BORRAR LA FIRMA DEFECTUOSA DE LA PARTICIÓN].
¡Un firmware especial es necesario para la recuperación, por favor proceda con la descarga!
Descargue el paquete de firmware de todos los modelos AQUÍ
Si sólo necesita un archivo de modelo único, nuestro Foro de la Comunidad tiene esta separado AQUÍ
1) Reinicie el Firewall
2) Pulse cualquier tecla para entrar en modo de depuración
3) Introduzca el siguiente comando (Set FTP Server)
atkz –f –l 192.168.1.1
4) Introduzca el siguiente comando (Reboot to FTP Mode)
atgof
5) Configure su ordenador para utilizar una dirección IP estática de 192.168.1.2 ~ 192.168.1.254
(Desactivar WIFI podría ayudar en algunos escenarios)
6) Conecte su ordenador al primer puerto Ethernet del ATP/USG FLEX. Por ejemplo, el primer puerto Ethernet del USG FLEX 500 es P2.
7) Use un cliente FTP en su computadora para conectarse al ATP/USG FLEX. Este ejemplo utiliza el comando ftp en el símbolo del sistema de Windows. La dirección IP del servidor FTP del ATP/USG FLEX para la recuperación del firmware es 192.168.1.1
8) Inicie sesión sin nombre de usuario (simplemente pulse enter)
9) Establezca el modo de transferencia a binario "bin" y transfiera el archivo de firmware desde su ordenador al ATP/USG FLEX.
Copie la ruta del firmware después de descargarlo. Asegúrese de descomprimirlo y utilizar el código correcto, es decir, ABUJ = USG FLEX 500.
10) La sesión de consola muestra "Firmware recibido" una vez finalizada la transferencia del archivo FTP. A continuación, debe esperar mientras ATP/USG FLEX recupera el firmware (puede tardar hasta 10 minutos). La sesión de consola muestra "done" cuando se completa la recuperación del firmware. A continuación, el ATP/USG FLEX se reinicia automáticamente.
11) Inicie sesión en la GUI web de ATP/USG FLEX, cargue y aplique el archivo de configuración de copia de seguridad para restaurar el escenario de trabajo. Asegúrese de cambiar la dirección IP del PC después de cargarlo correctamente, ya que el cortafuegos puede volver a acceder por IP desde el archivo de configuración de copia de seguridad.
Nota: Si ya ha activado la autenticación 2FA para la cuenta de administrador y desea omitirla durante el procedimiento de recuperación, desactive o elimine la configuración relacionada con 2FA del archivo de configuración de copia de seguridad antes de aplicarlo. De este modo, podrá iniciar sesión en el cortafuegos con normalidad y evitar el proceso de autenticación 2FA.
12) Actualice manualmente la firma de App-Patrol a 1.0.0.20250102.0
Vaya a CONFIGURACIÓN > Licencias > Actualización de firmas y actualice la firma de App-Patrol manualmente.
Asegúrese de que la versión es 1.0.0.20250102.0 o 1.0.0.20241205.0.
Sección FAQ
1.) ¿Funciona una recuperación por FTP?
No, no funciona.
2.) ¿Es necesario On-Site?
Sí, esto es 100% de trabajo y sugerir manera.
3.) ¿Hay alguna otra manera de hacer esto a distancia?
Todas las soluciones remotas podrían tener efecto en el sitio de otras cuestiones. Por ejemplo, es posible que no pueda utilizar una partición o la carga de firmware en el futuro. Le sugerimos que siga nuestros pasos anteriores. Sin embargo, algunos clientes reportan que pudieron recuperar el dispositivo con "Reboot", "Partition Changes", Downgrade Signature a través de GUI después de Reiniciar el dispositivo. La posibilidad es muy rara y como la solución podría perder los archivos de configuración o no funcionar en el 99% de los casos o simplemente hacer que el dispositivo no funcione inesperadamente, no podemos compartir ningún caso de uso para esto.
4.) ¿Desde cuándo existe este problema?
El cliente que tenía activa la licencia de seguridad y la configuración de la aplicación de patrulla a diario "en la noche" desde el punto de vista del tiempo, donde afectados. Entonces la firma de carga durante 3 horas en los dispositivos y un reinicio o registros de alta podría traer el dispositivo en este problema.
5.) ¿Por qué Nebula y USG FLEX H no están afectados?
El USG FLEX H utiliza una versión de firmware diferente (uOS) y tiene más escenarios de verificación en el firmware uOS para la firma. Además, Nebula dispone de funciones avanzadas de protección "Remote Managed".
6.) ¿Por qué necesito actualizar el firmware cuando estoy afectado y por qué no puedo hacerlo remotamente?
El Signature Issue está creando muchos logs, esto causa que el firmware no pueda ser cargado remotamente y un paso de recuperación por Firmware Recovery (que es parte de cada documento Release Note también) necesita ser ejecutado. Con la combinación de "reset" después de la configuración de copia de seguridad, a continuación, ejecute la actualización del firmware a través de la consola, la firma y el registro relacionados pueden ser limpiados. A través de Remote esto no es posible, ya que no hay suficiente espacio libre para cargar el firmware. Un reinicio del dispositivo sólo elimina un archivo de configuración, no la otra información guardada en la partición, es decir, los certificados. Donde el firmware datecode limpiar el área de la partición de cuestiones.
7.) ¿Qué pasa si he recuperado el dispositivo pero no he instalado el firmware fix?
Entonces sólo se puede utilizar la partición que está en este momento (en ejecución) la partición de espera está llena y no se puede utilizar más a menos que se ejecute la recuperación. Así que las actualizaciones de firmware deben aplicarse siempre a la partición en ejecución.
Si usted está atascado con el SOP Recuperar por cualquier necesidad, no dude en estar en contacto con nuestro equipo de soporte para obtener ayuda en su idioma local - ¿Cómo contactar con el equipo de soporte?