This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Possible faulty IPS/Snort update on 09 FEB about 12:34 UTC

I see in the German Forum that my customers weren't the only ones that experienced new false positives after this.

Did anyone else experience this?  The customers I had to help were on 7.510 or 7.511.

SID 12798 "SHELLCODE base64 x86 NOOP" (reported in the German Forum)
SID 15935 DNS responses from internal sources to internal sources
SID 17750 "DOS Microsoft IIS 7.5 client verify null pointer attempt"

And a bunch of SIDs concerning responses from web servers
4136, 5910, 6690, 6692, 6699, 6701, 11263, 12633, 12798, 16222, 16663 and 17543

Anyone else?  Are these new rules or newly turned-on rules because of a new threat or???

Cheers - Bob


This thread was automatically locked due to age.
  • I'm not seeing those alerts in my ips log at home (ASG 7.510), but I am seeing lots of:

    2012:02:11-21:07:28 fw snort[8512]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="DNS TCP inverse query" group="241" srcip="192.168.101.13" dstip="192.168.101.1" proto="6" srcport="56965" dstport="53" sid="2922" class="Attempted Information Leak" priority="2"  generator="1" msgid="0"


    192.168.101.13 is my main PC (WinXP SP3)
    and 
    192.168.101.1 is Astaro

    Barry
  • we see same issue since thursday pattern update for a uk astaro vm solution

    colin
  • I too can confirm this.
    Our Astaro-box sends out automated backup mails to sysadmins, but even that mail was stopped by the box`s own filter until i put some of the snort ID`s in the ignore list.

    But the number of IPS reports in general has exploded(!) the last few days.
  • Our customer was also affected.
    They had an issue snort[8624]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="DNS dns response for rfc1918 10/8 address detected" group="241" srcip="x.x.x.x" dstip="y.y.y.y" proto="17" srcport="53" dstport="52823" sid="13249"  (all DNS requests through IPSec connection to main ASG we blocked). We disabled IPS on their 8.103 systems for some time as a workarond. Astaro support promissed us on friday to make a global rollback to previous pattern version during next update.
  • Right now i am also getting flodded with SID #17483, is this also related to this bug or is it actually a positive match?

    "DNS squid proxy dns A record response denial of service attempt"

    Boring when we cant trust the system :/
  • Our customer was also affected.
    They had an issue SID 15935 DNS responses from internal sources to internal sources (all DNS requests through IPSec connection to main ASG we blocked). We disabled IPS on their 8.103 systems for some time as a workarond. Astaro support promissed us on friday to make a global rollback to previous pattern version during next update.


    I got a new update installed 06:50 this morning, but i have still recieved shellcode-warnings after that (and a buch of other warnings..), so it does not appear to have been fixed at that update at least.
  • Boring when we cant trust the system :/

    In my experience ASG is a very unstable product with a lot of bugs. After 10 months we have about 50 tickets with customer support and some of them repeats again and again with minor differences. We have installed many RPMs given by Astaro, sometimes we had to even replace kernel... but still we have a lot of unresolved cases.

    Feels like money has been just thrown away.
  • I see in the German Forum that my customers weren't the only ones that experienced new false positives after this.

    Did anyone else experience this?  The customers I had to help were on 7.510 or 7.511.

    SID 12798 "SHELLCODE base64 x86 NOOP" (reported in the German Forum)
    SID 15935 DNS responses from internal sources to internal sources
    SID 17750 "DOS Microsoft IIS 7.5 client verify null pointer attempt"

    And a bunch of SIDs concerning responses from web servers
    4136, 5910, 6690, 6692, 6699, 6701, 11263, 12633, 12798, 16222, 16663 and 17543

    Anyone else?  Are these new rules or newly turned-on rules because of a new threat or???

    Cheers - Bob


    I had 2 customers out of about 40 report this issue.  Astaro Support confirmed that there was a bad IPS Pattern up2date issued Thurdsday, about 10:00AM EST.  The workaround was to disable the rules affected until a new up2date was released.  I got contacted by Astaro Support this AM stating that a patched IPS Pattern up2date was released on Friday, around noon EST.  I have not logged back into the "troubled" system since I got this information, so I can't say if the patterns are truly fixed or not yet.  FWIW, the only systems that reported an issue were 8.103 systems -- although I had other customers still on 8.103 (and probably one still on 7.5xx), most of our managed customer base is on 8.300... can't say there's any common "thread" to which ones were affected and which ones weren't.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • I can confirm this on 7.511. Thurs morning I started getting hundreds of alerts an hour for SIDs 1394, 12798, 12799 and 12802. Unchecking "Add Extra Warnings" on the Malware group slowed them down to a trickle. Now I'm just seeing the occasional 17750, though I haven't seen any alerts since this mornings IPS update to u2d-ips-7-237.i686.rpm.
  • We too, have been affected by the bad rules.   Apparently they released an update for version 8, that accidentally got applied to version 7.

    I just got off the phone with support, supposed a pattern update ending in 237 was released this morning.