[English]Kurze Information und Frage in die Runde der Leser, die Zyxel-Firewalls im Portfolio haben, ob es Betroffene gibt. Es scheint am heutigen 24. Januar 2025 einige Instanzen getroffen zu haben. Die "Boxen" wurden durch ein fehlerhaftes Signatur-Update außer Betrieb gesetzt. Ein Blog-Leser aus dem Bereich der Zyxel-Partner hat mich darüber informiert. Da könnte einige Arbeit auf Administratoren zukommen, da ein Recovery nur vor Ort möglich ist.
Anzeige
Leserhinweis auf Zyxel Firewall-Probleme
Ein Zyxel-Partner, der hier im Blog mitliest, hat mich vor einigen Stunden informiert (danke dafür), dass es massive Probleme gebe. Jedenfalls berichtete er, dass er heute von extremen Problemen mit "toten Boxen".
Das Fehlerbild ist recht schnell beschrieben: Das Webinterface der Zyxel-Firewall ist nicht mehr erreichbar, denn nach einen Neustart fährt die Firewall nicht mehr hoch. Es sei nur noch physisch ein Recovery per RS232 möglich. Hintergrund ist ein fehlerhaftes Signatur-Update von Zyxel.
Der Leser schrieb dazu: "wieder mal, sowas gab es vor einigen Monaten auch schon", und zeigte sich arg verschnupft. Denn er kann jetzt vor Ort alle Firewalls manuell Recovern und hoffen das Zyxel ein neues Update rausbringt welches die kaputte Partition wiederherstellt. Vielleicht hilft die Information einigen betroffenen Zyxel-Usern unter der Leserschaft.
Ergänzung: Ein zweiter Leser hat sich ebenfalls gemeldet und auf diesen Forenbeitrag hingewiesen. Leider ist die Mail im SPAM-Ordner gelandet, so dass ich es nun nachtrage.
Anzeige
Information von Zyxel
Der Leser wies darauf hin, dass Zyxel inzwischen auch eine Information zum Problem veröffentlicht habe. Im Supportbeitrag USG FLEX / ATP Series – Recovery Steps for Application Signature Issue on January 24th legt der Anbieter mehr Details offen.
Demnach sind einige Geräte der USG FLEX / ATP Series von dem oben erwähnten fehlerhaften Signatur-Update betroffen. Dieses kann zu Reboot-Schleifen, ZySH-Daemon-Fehlern oder Problemen beim Login-Zugriff führen. Auch könne die System-LED blinken, heißt es im Supportbeitrag.
Das Problem rührt von einem Fehler im Application Signature Update her, nicht von einem Firmware-Upgrade, schreibt Zyxel. Um dieses Problem zu beheben, hat der Anbieter nach Bekanntwerden des Problems zum 24. Januar 2025 die Anwendungssignatur auf den Unternehmens-Servern deaktiviert. Dadurch sollen weitere Auswirkungen auf Firewalls, die die neuen Signaturversionen nicht geladen haben, verhindert werden.
Betroffen sind Geräte mit aktiven Sicherheitslizenzen der USG FLEX- oder ATP-Serie (ZLD-Firmware-Versionen) und dedizierten Signatur-Updates im Vor-Ort-/Standalone-Modus (Signatur-Update 1/24 bis 1/25 in der Nacht).
Geräte auf der Nebula-Plattform oder der USG FLEX H (uOS)-Serie seien nicht betroffen. Wer betroffen ist, dem empfiehlt Zyxel die Lektüre des kompletten Supportbeitrag USG FLEX / ATP Series – Recovery Steps for Application Signature Issue on January 24th, da dort das Vor-Ort-Recovery beschrieben wird.
Anzeige
Ohne Zusammenhang(?):
Eine Vodafone Easybox 805 im Bekanntenkreis hat gestern (23.01.2025) unvermittelt alle Einstellungen verloren und war im Zustand wie nach Werksreset.
Wie kann ein Update der Signaturen (!) für so ein Fehlerbild sorgen? Damit kann man die Geräte maximal noch im Lab einsetzen, aber ganz sicher nicht im Enterprise Umfeld. Wenn ich jederzeit Sorge haben muss, dass mir meine Firewall im RZ um die Ohren fliegt ist was sehr falsch gelaufen.
„Firewall im RZ" und „Zyxel" passen auch eher nicht zusammen, von dem her sollte das kein Problem sein ;-)..
Kann ich bestätigen, über 10 Firewalls alleine von meiner Seite :(( und für die Endlösung muss man nochmal vor Ort!
Wiedermal grande Zyxel Disaster
Tja, da wurde wohl vorher nichts getestet.
Und es kann sich derjenige glücklich schätzen, der noch einen Computer mit RS232-Anschluß hat oder irgendwo in der Schublade noch einen USB auf RS232-Adapter liegen hat.
Hi, bei uns begann das ganze Szenario gestern Früh damit, das eine Box nach einem Stromausfall nicht mehr hochfuhr (keine USV vor Ort). Der Support in Deutschland wusste zu dem Zeitpunkt absolut nichts. Erst nach und nach konnte uns von Zyxel Taiwan bestätigt werden was nun auch in der Ankündigung steht. Ein "Signaturupdate", bis jetzt noch nicht klar ob URL-Filter oder Malware oder sonstiges Update war fehlerhaft. Dies wurde in der Nach released und Boxen die sich das geholt haben hatten dann das Problem. Irgendwie merkwürdig da ich bei allen Boxen stündliche Updates eingestellt hatte und es "nur" einige Traf. Wieder mal toll das die nicht zahlenden Kunden dann wieder besser dran sind weil keine Updates ^^ .
Nun schreibt das Signaturupdate die aktive Firmwareparition kaputt. Was genau weiß man noch nicht. Die Lösung ist eben per Serial die Backuppartition booten. Blöd nur das wir aus Stabilitätsgründen immer abwechselnd die Paritionen updaten und so auf beiden nicht die gleiche Version ist (und somit die Config nicht einfach so anwendbar ist).
Wichtig ist auch, es wird noch ein Update geben welches dann diese kaputte Partition "repariert", bootet man sonst da rein hat man das gleiche Problem wieder. Toll ist auch das man eben remote gar nicht draufkommt (HTTPS/FTP/SSH) und so nur per RS232 das Problem "beheben" kann.
Edit: Es ar das App-Patrol-Paket. Inzwischen geibt es eine "Recoveryfirmware" angeboten über Dropbox. So ganz professionell wirkt das nun alles nicht mehr.
Früher™ hatten wir an den TVAs mit RS232 einen Wartungs-PC mit geschütztem Fernzugriff (in der 'Ausbaustufe' einen "Management-PC", der alles Wichtige erreichen und konfigurieren konnte), warum macht man das nicht mehr? Er muss auch nicht 24/7 laufen, es genügt ja, wenn der Kunde ihn bei Bedarf einschaltet.
Alternativ gibt es RS232 over IP als Hard- und Softwarelösungen.