Lees het volledige artikel zorgvuldig door voordat je ter plaatse gaat rijden en zorg ervoor dat je de benodigde kabel hebt!

We hebben een probleem gevonden bij een paar apparaten dat kan leiden tot herstart loops, ZySH daemon mislukkingen of login toegangsproblemen. De systeem-LED kan ook knipperen. Dit is niet gerelateerd aan een CVE of beveiligingsprobleem.

Het probleem is het gevolg van een fout in de Application Signature Update, niet van een firmware-upgrade. Om dit te verhelpen hebben we de toepassingshandtekening op onze servers uitgeschakeld, om verdere impact te voorkomen op firewalls die de nieuwe handtekeningversies nog niet hebben geladen.

Welke apparaten worden beïnvloed?

Apparaten met actieve beveiligingslicenties op USG FLEX of ATP Series (ZLD Firmware Versies) en speciale handtekeningupdates in On-premise/Standalone Mode (handtekeningupdates 1/24 tot 1/25 in de nacht).
Apparaten op het Nebula-platform of USG FLEX H (uOS)-serie worden NIET beïnvloed.

Hoe weet ik of ik NIET ben getroffen?

Ga naar CONFIGURATION > Licensing > Signature Update en controleer de App-Patrol-handtekening.
Controleer of de versie 1.0.0.20250102.0 of 1.0.0.20241205.0 is.

Alleen versie "1.0.0.20250123.0" wordt beïnvloed en moet SOP volgen voor herstel of HANDMATIG downgraden via GUI als je nog toegang hebt.

Je wordt ook NIET beïnvloed als je:

- Nebula gebruikt.
- USG FLEX H-serie gebruikt
- Geen actieve beveiligingslicenties op het apparaat hebt

De firmwareversie is niet gerelateerd aan het probleem, alleen de App Patrol-versie is bepalend.


De enige volledig geverifieerde oplossing is als volgt; volg deze stappen:

Opmerking voor Apparaat HA:
Beide apparaten moeten worden hersteld met behulp van de SOP in dit artikel en vooraf door deze HA-herinstallatie tevolgen .

Dit herstel vereist een consolekabel en moet on-site worden uitgevoerd. Hoewel het niet ideaal is, is het de enige gegarandeerde oplossing voor dit probleem.

Een herstel via SSH, FTP of Webinterface is niet mogelijk.

Voorbereiding van herstel

Het eerste wat je nodig hebt is een Console / RS232 kabel om te beginnen met het herstel.
Het herstel moet ter plaatse gebeuren en kan niet worden uitgevoerd via een sessie op afstand.
CLI via Consolekabel [Zyxel apparaten] - Console om toegang te krijgen tot de seriële poort & Debug-niveau 8 te gebruiken [Putty & TeraTerm] Baud Rate: 115200!

Stap 1: Back-up configuratie
(hoeft alleen te worden uitgevoerd als u geen lokale back-up heeft)

1) Sluit de consolekabel aan zoals uitgelegd in"Voorbereiding van herstel".

Het probleem kan er zo uitzien, maar kan ook anders zijn.

2) Start het apparaat opnieuw op en ga naar de debugmodus door op het toetsenbord te typen, d.w.z. door meerdere keren op de Enter-toets te drukken als "Enter Debug Mode....." klaar is.

3) Enter atkz -b

4) Enter atgo

5) Momenteel is uw ATP/FLEX gereset naar de standaardinstellingen, maar er is al een back-up gemaakt van de opstartconfig.conf. Verbind uw computer met de lan1 van de ATP/USG FLEX om het DHCP IP-adres 192.168.1.33 rechtstreeks te krijgen.

6) Open cmd op uw computer en voer ftp 192.168.1.1 in. Log in met admin en wachtwoord 1234.
Voer cd /conf en get startup-config-back.conf in om het back-upbestand te downloaden.

Je kunt het back-upbestand op je computer vinden.

Stap 2: Herstel
(Verwijder de handtekening) door een nieuwe firmware toe te voegen via Console
Stap 1-12 is vereist voor volledig herstel!

[ALS U NIET GETROFFEN BENT HOEFT U GEEN FIRMWARE TE UPGRADEN! DIT IS ALLEEN EEN HERSTELFIRMWARE OM DE SLECHTE HANDTEKENING UIT DE PARTITIE TE VERWIJDEREN!]

Een speciale firmware is vereist voor herstel, ga door met downloaden!

Firmwarepakket voor alle modellen HIERdownloaden
Als u slechts één modelbestand nodig hebt, vindt u dit op ons Community Forum HIER

1) Herstart Firewall

2) Druk op een willekeurige toets om naar de debugmodus te gaan

3) Voer het volgende commando in (FTP-server instellen)

atkz –f –l 192.168.1.1 

4) Voer het volgende commando in (Opnieuw opstarten naar FTP-modus)

 atgof 

5) Stel je computer in om een statisch IP-adres te gebruiken van 192.168.1.2 ~ 192.168.1.254
(WIFI uitschakelen kan in sommige scenario's helpen)

6) Sluit uw computer aan op de eerste Ethernetpoort van de ATP/USG FLEX. De eerste Ethernetpoort van USG FLEX 500 is bijvoorbeeld P2.

7) Gebruik een FTP-client op uw computer om verbinding te maken met ATP/USG FLEX. In dit voorbeeld wordt de opdracht ftp gebruikt in de opdrachtprompt van Windows. Het IP-adres van de FTP-server van de ATP/USG FLEX voor het herstel van de firmware is 192.168.1.1.

8) Log in zonder gebruikersnaam (druk gewoon op enter)

9) Stel de overdrachtsmodus in op binair "bin" en breng het firmwarebestand over van uw computer naar de ATP/USG FLEX.

Kopieer het pad van de firmware nadat u deze hebt gedownload. Zorg ervoor dat u het uitpakt en de juiste code gebruikt, bijv. ABUJ = USG FLEX 500.

10) De consolesessie geeft "Firmware ontvangen" weer nadat de FTP-bestandsoverdracht is voltooid. Vervolgens moet u wachten terwijl ATP/USG FLEX de firmware herstelt (dit kan tot 10 minuten duren). De consolesessie geeft "done" weer wanneer het herstel van de firmware is voltooid. Daarna start de ATP/USG FLEX automatisch opnieuw op.

11) Log in op de ATP/USG FLEX web GUI, upload en pas het back-up configuratiebestand toe om terug te keren naar het werkende scenario. Zorg ervoor dat u het IP-adres van de pc wijzigt nadat het uploaden correct is uitgevoerd, omdat de firewall weer toegankelijk is via het IP van het back-upconfiguratiebestand.

Opmerking: Als u al 2FA-verificatie hebt ingeschakeld voor het beheerdersaccount en u wilt dit omzeilen tijdens de herstelprocedure, schakel dan de 2FA-gerelateerde configuratie uit of verwijder deze uit het back-up configuratiebestand voordat u het toepast. Dit zorgt ervoor dat je normaal kan inloggen op de firewall en het 2FA-authenticatieproces kan omzeilen.

12) App-Patrol handtekening handmatig bijwerken naar 1.0.0.20250102.0

Ga naar CONFIGURATION > Licensing > Signature Update en werk de App-Patrol handtekening handmatig bij.
Zorg ervoor dat de versie 1.0.0.20250102.0 of 1.0.0.20241205.0 is.

FAQ sectie

1.) Werkt een herstel via FTP?

Nee, dat kan niet.

2.) Is on-site vereist?

Ja, dit is een 100% werkende en aanbevolen manier.

3.) Is er een andere manier waarop ik dit op afstand kan doen?

Alle oplossingen op afstand kunnen gevolgen hebben voor de site of andere problemen. Het is bijvoorbeeld mogelijk dat u in de toekomst geen partitie of firmware-upload meer kunt gebruiken. We raden aan om de bovenstaande stappen te volgen. Sommige klanten melden echter dat ze het apparaat konden herstellen met "Reboot", "Partition Changes", Downgrade Signature via GUI na het resetten van het apparaat. De kans hierop is zeer zeldzaam en aangezien de oplossing in 99% van de gevallen kan leiden tot verlies van configuratiebestanden of niet werken of simpelweg het apparaat onverwacht onfunctioneel kan maken, kunnen we hiervoor geen use case delen.

4.) Hoe lang bestaat dit probleem al?

Klanten die een actieve beveiligingslicentie hadden en Application Patrol dagelijks "in de nacht" instelden, werden getroffen. Dan worden de handtekeningen 3 uur lang in de apparaten geladen en een reboot of hoge logs kunnen het apparaat in dit probleem brengen.

5.) Waarom worden Nebula en USG FLEX H niet beïnvloed?

USG FLEX H gebruikt een andere firmwareversie (uOS) en heeft meer verificatiescenario's in uOS Firmware voor handtekening. Ook Nebula heeft geavanceerde "Remote Managed" beveiligingsfuncties.

6.) Waarom moet ik de firmware upgraden als ik getroffen ben en waarom kan ik het niet op afstand doen?

Het Signature Issue creëert veel logs, hierdoor kan de firmware niet op afstand worden geüpload en moet een herstelstap door Firmware Recovery (dat ook deel uitmaakt van elk Release Note-document) worden uitgevoerd. Met de combinatie van "reset" na back-up configuratie, dan de firmware upgrade uitvoeren via console, kunnen de gerelateerde handtekening en logs worden opgeschoond. Via Remote is dit niet mogelijk, omdat er niet genoeg vrije ruimte is om zelfs maar de firmware te uploaden. Een reset van het apparaat verwijdert alleen een configuratiebestand, niet de andere partitie opgeslagen informatie zoals certificaten. Waar de datumcode firmware schoon te maken van de problemen partitie gebied.

7.) Wat gebeurt er als ik het apparaat heb hersteld, maar de fix firmware niet heb geïnstalleerd?

Dan kun je alleen de Partitie gebruiken waar je nu op staat (Running) de Standby Partitie is vol en kan niet meer gebruikt worden tenzij herstel wordt uitgevoerd. Firmware-upgrades moeten dus altijd worden toegepast op de actieve partitie.

Als u vast zit met de Recover SOP door wat voor behoeften dan ook, neem dan gerust contact op met ons Support Team om hulp te krijgen in uw lokale taal - Hoe neem ik contact op met het Support Team?