Läs hela artikeln noggrant innan du kör till platsen och se till att du har den kabel som krävs!

Vi har hittat ett problem som påverkar några enheter som kan orsaka omstartsslingor, ZySH-daemonfel eller problem med inloggningsåtkomst. Systemets LED-lampa kan också blinka. Observera att detta inte är relaterat till en CVE- eller säkerhetsfråga.

Problemet härrör från ett fel i Application Signature Update, inte en firmware-uppgradering. För att åtgärda detta har vi inaktiverat applikationssignaturen på våra servrar, vilket förhindrar ytterligare påverkan på brandväggar som inte har laddat de nya signaturversionerna.

Vilka enheter påverkas?

Enheter med aktiva säkerhetslicenser på USG FLEX- eller ATP-serien (ZLD Firmware-versioner) och dedikerade signaturuppdateringar i On-premise/Standalone Mode (signatur uppdaterad 1/24 till 1/25 på natten).
Enheter på Nebula-plattformen eller USG FLEX H (uOS)-serien påverkasINTE.

Hur vet jag om jag INTE är påverkad?

Gå till KONFIGURATION > Licensiering > Signaturuppdatering och kontrollera App-Patrol-signaturen.
Se till att versionen är 1.0.0.20250102.0 eller 1.0.0.20241205.0

Endast version"1.0.0.20250123.0" påverkas och du måste följa SOP för att återställa eller MANUELLT nedgradera via GUI om du fortfarande har åtkomst.

Du påverkas inte heller om du gör det:

- Använder Nebula
- Använder USG FLEX H-serien
- Inte har några aktiva säkerhetslicenser på enheten

Firmwareversionen är INTE relaterad till problemet, endast App Patrol-versionen är beslutsfattaren.


Den enda helt verifierade lösningen är som följer; följ dessa steg:

Obs för enhet HA:
Båda enheterna måste återställas med hjälp av SOP i den här artikeln och avanceras genom att följa denna HA-omfördelning.

Denna återställning kräver en konsolkabel och måste göras på plats. Även om det inte är idealiskt är det den enda garanterade lösningen för det här problemet.

En återställning via SSH, FTP eller webbgränssnitt är inte genomförbar.

Förberedelse av återställning

Det första obligatoriska du behöver är en konsol / RS232-kabel för att börja med återhämtningen.
Återställningen måste göras på plats och kan inte göras via en fjärrsession.
CLI via konsolkabel [Zyxel Devices] - Konsol för åtkomst till serieporten och användning av felsökningsnivå 8 [Putty & TeraTerm] Baud Rate: 115200!

Steg 1: Säkerhetskopiera konfigurationen
(behöver bara utföras om du inte har en lokal säkerhetskopia)

1) Anslut konsolkabeln enligt förklaringen i"Förberedelse av återställning"

Problemet kan se ut så här, men kan också visa sig på ett annat sätt.

2) Starta om enheten och gå in i felsökningsläge genom att skriva på tangentbordet, t.ex. Enter-tangenten flera gånger när du är klar "Enter Debug Mode....."

3) Enter atkz -b

4) Enter atgo

5) För närvarande är din ATP/FLEX återställd till standardinställningarna, men startup-config.conf är redan säkerhetskopierad. Anslut din dator till ATP/USG FLEX:s lan1 för att få DHCP IP-adress 192.168.1.33 direkt.

6) Öppna cmd på din dator och ange ftp 192.168.1.1. Logga in med admin och lösenord 1234.
Ange cd /conf och get startup-config-back.conf för att hämta backup-filen.

Du kan hitta säkerhetskopian på din dator.

Steg 2: Återställning
(Ta bort signaturen) genom att lägga till en ny firmware via konsolen
Steg 1-12 krävs för fullständig återställning!

[OM DU INTE PÅVERKAS BEHÖVER DU INTE UPPGRADERA NÅGON FIRMWARE! DETTA ÄR BARA EN ÅTERSTÄLLNINGSFIRMWARE FÖR ATT TA BORT DÅLIG SIGNATURFORM PARTITION!]

En speciell firmware krävs för återställning, fortsätt med nedladdningen!

Ladda ner firmwarepaket för alla modeller HÄR
Om du bara behöver en enda modellfil har vårt Community Forum separerat detta HÄR

1) Starta om brandväggen

2) Tryck på valfri tangent för att gå till felsökningsläge

3) Ange följande kommando (Ställ in FTP-server)

atkz –f –l 192.168.1.1 

4) Ange följande kommando (Starta om till FTP-läge)

 atgof 

5) Ställ in datorn så att den använder en statisk IP-adress från 192.168.1.2 ~ 192.168.1.254
(Inaktivera WIFI kan hjälpa till i vissa scenarier)

6) Anslut datorn till den första Ethernet-porten på ATP/USG FLEX. Till exempel är den första Ethernet-porten på USG FLEX 500 P2.

7) Använd en FTP-klient på din dator för att ansluta till ATP/USG FLEX. I detta exempel används kommandot ftp i kommandotolken i Windows. ATP/USG FLEX FTP-serverns IP-adress för återställning av fast programvara är 192.168.1.1

8) Logga in utan användarnamn (tryck bara på enter)

9) Ställ in överföringsläget till binär "bin" och överför firmwarefilen från din dator till ATP/USG FLEX.

Kopiera sökvägen till den fasta programvaran efter att du har laddat ner den. Se till att packa upp den och använd rätt kod, t.ex. ABUJ = USG FLEX 500.

10) Konsolsessionen visar "Firmware received" när FTP-filöverföringen är klar. Sedan måste du vänta medan ATP/USG FLEX återställer den fasta programvaran (detta kan ta upp till 10 minuter). Konsolsessionen visar "done" när återställningen av den fasta programvaran är klar. Därefter startas ATP/USG FLEX om automatiskt.

11) Logga in på ATP/USG FLEX:s webb-GUI, ladda upp och tillämpa säkerhetskopieringsfilen för att återställa till arbetsscenariot. Se till att ändra datorns IP-adress efter att uppladdningen har gjorts korrekt, eftersom brandväggen kan nås via IP från konfigurationsfilen för säkerhetskopiering igen.

Obs: Om du redan har aktiverat 2FA-autentisering för administratörskontot och vill kringgå det under återställningsproceduren ska du inaktivera eller ta bort den 2FA-relaterade konfigurationen från konfigurationsfilen för säkerhetskopian innan du tillämpar den. Detta säkerställer att du kan logga in på brandväggen på normalt sätt och kringgå 2FA-autentiseringsprocessen.

12) Uppdatera App-Patrol-signaturen till 1.0.0.20250102.0 manuellt

Gå till KONFIGURATION > Licensiering > Signaturuppdatering och uppdatera App-Patrol-signaturen manuellt.
Kontrollera att versionen är 1.0.0.20250102.0 eller 1.0.0.20241205.0.

FAQ-avsnitt

1.) Fungerar en återställning via FTP?

Nej, det kan inte fungera.

2.) Krävs det på plats?

Ja, det här är 100% fungerande och föreslår sätt.

3.) Finns det något annat sätt jag kan göra detta på distans?

Alla fjärranslutna lösningar kan ha plats-effekt av andra problem. Till exempel kanske du inte kan använda en partition eller Firmware Upload i framtiden. Vi föreslår att du följer våra steg ovan. Vissa kunder rapporterar dock att de kunde återställa enheten med "Reboot", "Partition Changes", Downgrade Signature via GUI efter Reset-enheten. Chansen är mycket sällsynt och eftersom lösningen kan förlora konfigurationsfiler eller inte fungera i 99% av fallen eller helt enkelt göra enheten ofunktionell oväntad, kan vi inte dela något användningsfall för detta.

4.) Hur länge har det här problemet funnits?

Kund som hade aktiv säkerhetslicens och installation av Application Patrol till dagligen "på natten" ur tidssynpunkt, där påverkades. Sedan laddades signaturen i 3 timmar i enheterna och en omstart eller höga loggar kunde få enheten till det här problemet.

5.) Varför påverkas inte Nebula och USG FLEX H?

USG FLEX H använder en annan firmwareversion (uOS) och har fler verifieringsscenarier i uOS Firmware för signatur. Även Nebula har avancerade "fjärrhanterade" skyddsfunktioner till hands.

6.) Varför behöver jag uppgradera firmware när jag påverkas och varför kan jag inte göra det på distans?

Signaturproblemet skapar många loggar, vilket gör att den fasta programvaran inte kan laddas upp på distans och ett återställningssteg med Firmware Recovery (som också är en del av varje Release Note-dokument) måste utföras. Med kombinationen av "återställning" efter säkerhetskopieringskonfiguration, kör sedan firmwareuppgraderingen via konsolen, den relaterade signaturen och loggen kan rensas upp. Via Remote är detta inte genomförbart, eftersom det inte finns tillräckligt med ledigt utrymme för att ens ladda upp den fasta programvaran. En återställning från enheten tar bara bort en konfigurationsfil, inte den andra partitionssparade informationen, t.ex. certifikat. Där datumkod firmware rensar upp problemen partitionsområdet.

7.) Vad händer om jag har återställt enheten men inte installerat den fasta programvaran?

Då kan du bara använda den partition du befinner dig på just nu (Running), Standby-partitionen är full och kan inte användas längre om inte återställning utförs. Så uppgraderingar av firmware måste alltid tillämpas på Running-partitionen.

Om du har fastnat med Recover SOP av något behov, är du välkommen att kontakta vårt supportteam för att få hjälp på ditt lokala språk - Hur kontaktar jag supportteamet?