Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 72 replies
  • Subscribers 4 subscribers
  • Views 73073 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

crl.verisign.com Threat Protection false positives?

stealthmatt_01
Hi all,

We are seeing an increase in ATP notifications just today, in relation to *crl.verisign.com

This seems like its a certificate look up? Mulitplie UTMs are reporting this same threat with different clients, we have run malware bytes and full system AV scan and can't seem to find anything.

The one PC we did find a trojan, we have cleared and just now it has said the same IP tried to get to the same site? the Reason is both DNS and Proxy...


This thread was automatically locked due to age.
  • 0
    Same here. ATP Pattern version is still 9.2507 (Problem startet with 9.2505) and up2date Servers do not deliver updates (http code 500).
  • 0 in reply to skerba
    Are you sure it's 9.2507 that is problematic?
    I think it could be 9.2505, because the 9.2507 was installed just one hour ago on my site. 
    9.2505 was installed at 6:40 GMT+1 on my site and the first error I got, was at about 7:30 GMT+1.


    I'm sure that with 9.2507 the false positives appear. But since my UTM does not run 24x7 and was shut down last night, it indeed missed some signature releases (it applied 9.2507  this morning shortly after poweron over yesterday's 9.2498), so I admit that some releases before 9.2507 may also contain pattern causing this false positive.

    Ondrej
  • 0 in reply to ondrej.holas
    I'm sure that with 9.2507 the false positives appear. But since my UTM does not run 24x7 and was shut down last night, it indeed missed some signature releases (it applied 9.2507  this morning shortly after poweron over yesterday's 9.2498), so I admit that some releases before 9.2507 may also contain pattern causing this false positive.

    Ondrej


    Oh, I see... OK :-) so they are both problematic.
  • 0
    I have the same Probleme with Version 9.206-35 and 9.207-19
  • 0 in reply to itse-10
    I believe current firmware version is not the same as the current pattern version.  Does Threat Protection come from the patterns that are automatically checked every 15 minutes or the core system that comes down as a firmware package?

    I pulled 9.207-19 yesterday at around 10am, but started getting false positives for a trojan at around 23:20 last night.  (Tripwire for hourly calls to bot.whatismyipaddress.com that I used internally to make some other Dynamic DNS registrations that the UTM couldn't handle).
  • 0 in reply to larray
    I believe current firmware version is not the same as the current pattern version.  Does Threat Protection come from the patterns that are automatically checked every 15 minutes or the core system that comes down as a firmware package?


    ATP patterns are part of definition patterns that are checked (by default) every 15 minutes. Each definition-based component (ATP, SAVI, Avira, IPS etc.) uses its own definition version/build numbering as you can see in Up2Date log.

    Ondrej
  • 0
    Many hours and 16 responses later...

    still no answer from sophos... -.-

    the new sophos board sucks... :-( please give us the old one back.

  • 0 in reply to M.Rottler
    Guys, these are false alarms, and it's not dependent on the version of UTM firmware (triggers on 9.207, 9.206, and 9.205).  I've already started a case with Sophos, they have responded, and will likely be updating the ATP pattern DB at some point to fix this.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0
    Many of this false alarm today.
    Disturbing cause verisign.com is a safe domain
    Anyway for the moment i put in the ATP protection  this 2 Threat exceptions: 

    csc3-2004-crl.verisign.com
    csc3-2009-2-crl.verisign.com
  • 0
    I'm getting the same on one DNS server and a TMG server... Glad I'm not the only one!  Hopefully they can fix it without needing to add exceptions.
Unfiltered HTML