Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 3 subscribers
  • Views 6469 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Client not updating, trigger IPS events for LimeLight Networks IP Addresses

micdewser
So I've been trying to figure out why the 2 clients I am running from the UTM based Endpoint security app are not updating.  Multiple attempts to update failed with contacting the server.  So I think I found out why, Got my executive report this morning from the UTM and saw 60 or so blocked attacks coming from the following IP addresses:

69.28.184.47 https-69-28-184-47.lga.llnw.net
208.111.135.98 https-208-111-135-98.lga.llnw.net

The reason for the blocks was the following attack rule:
FILE-FLASH Adobe Flash Player BrokerExtTextOutW invalid string and length parameter sandbox escape attempt

So figured out the IPs belong to LimeLight Networks CDN.  Then I saw another post from earlier in the year complaining of a similar situation, no updates.  The tech working the thread asked the users to verify the server resolves and responds to pings.  So I check the configured server in the client on my system which currently points to: 

d3.sophosupd.com

Ping that and get 69.28.184.47 which resolves to sophos-1.hs.llnwd.net.

So now I know why I am not getting updates, but still not sure how it can be resolved.  Any ideas?  I do have some pending firmware upgrades which will be installed over the weekend (312-8, 313-3).  

Thanks!


This thread was automatically locked due to age.
  • 0
    My clients didn't received updates for 2 days, too! In the logs I've found the same blocks you mentioned (thanks for the hint!). As I termporarily disabled the IPS, Endpoint Security was able to fetch an update: Endpoint Security is now on version 11.0.5 (it was 10.3).

    Let's hope the IPS was wrong and the Sophos Update-Servers aren't hacked. :-/
  • 0 in reply to usrAsd32
    Yeah, I thought about doing that but since I am only running it on 2 clients, I decided to keep the IPS running.  Maybe someone at Sophos will respond.
  • 0
    Maybe someone at Sophos will respond
    This is a user-to-user forum.  In order to engage with a Sophos employee, you would need to have a paid license and contact Support.  Posts on these forums are not officially seen or acted upon by Sophos.

    but still not sure how it can be resolved
    The rule is a false positive.  From the IPS log, get the SID number for the rule.  Use the SID to create a disable rule modification at Network Protection > Intrusion Prevention > Advanced.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    This is a user-to-user forum.  In order to engage with a Sophos employee, you would need to have a paid license and contact Support.  Posts on these forums are not officially seen or acted upon by Sophos.

    The rule is a false positive.  From the IPS log, get the SID number for the rule.  Use the SID to create a disable rule modification at Network Protection > Intrusion Prevention > Advanced.


    Just posted about this: https://www.astaro.org/gateway-products/endpoint-protection-antivirus-device-control/58272-sophos-endpoint-not-updating-through-utm-ips.html

    Temporary workaround is to filter out Rule ID 33977 for your endpoint destination networks.
  • 0 in reply to gescarra
    This problem exists since quite some time (or it was fixed once and came back again).

    Informed Sophos support almost three month ago about the problem, but they didn't really cared about. As usual...

    2015:05:01-15:10:08 ***x-1 snort[4907]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="FILE-FLASH Adobe Flash Player BrokerExtTextOutW invalid string and length parameter sandbox escape attempt" group="340" srcip="" dstip="" proto="6" srcport="80" dstport="49236" sid="33977" class="Attempted User Privilege Gain" priority="1" generator="1" msgid="0"

    Back then, Sophos EP hanged while downloading "almsg.dll".
  • 0 in reply to UrsWeiss
    Got a response to this on Reddit from someone who works at Sophos.  Their suggestion was to whitelist Limelight.  Um... no, I will not whitelist the IP range or domain for a CDN.  I am sure Sophos is not their only customer.  Anyway, seeing a similar problem with downloads from oracle, in particular .exe files.  Oracle also uses a CDN for their downloads, Akamai.  Again, not going to whitelist an entire CDN just for this.  The Sophos updates I fixed by putting in an exception for the 2 IP addresses that I was seeing for the logs.  I don't like disabling rules if I don't have to.

    Again back to the Sophos update issue, the person also said that the devs would never hard code exceptions like that.  So we are supposed to guess when changes are made that might affect things like AV updates?  Well luckily I didn't purchase the full solution.  I was considering it, but I think I may go elsewhere for AV.
  • 0
    Hello,
    here we are again. We are also affected, don't know why it took five days until the IPS update with this false positive arrived at our UTMs, but now it is here and all clients seem to be affected. Maybe it happens as soon as limelight is the CDN.
    We could open a support incident, but given the experience of the last attempts to do so (one week+ until we had got a decent answer) and adding that no one seems to be responsible for the coordination between UTM and endpoint it would be a complete waste of time.
Unfiltered HTML