This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Interesting New Bug in ACC 3.000

Yesterday Afternoon I made some changes on our ACC -- mainly adding a new network to the allowed Gateway Manager Access Networks list.  All appeared to be well...

This morning, I noted one or two units that were still running 8.103 (most of our managed clients still run that version per our recommendations) that had lost connectivity to ACC (they showed as disconnected in ACC Gateway Manager)... thinking that they had gone down, I tracerouted, etc. to them and found them up and working, and their Webadmins were responding, etc.  I looked at the logs on the ACC and the Devices, and they indicated IO errors centered around a bad password -- thinking they were just "flipping out", as I did not change the Gateway Secret in ACC the previous day, and only the 8.103 instances appeared to be affected, I restarted the ACC and the nextgen-agent on the affected ASG units.

After the reboot, all of the ASGs showed as disconnected (including the ones running 8.300)... what to do?  So I manually reset the ACC Gateway Manager Secret on the ACC, and everything started working again.

We had no system outages, etc. yesterday, so I was really curious about what could have corrupted my ACC configuration that would require such a reset.

Looking at the management log (screenshot attached, redacted as necessary) I found the answer.  When I hit Apply in the Gateway Manager / Access tab, apparently it re-applies settings in the Device Security tab somehow -- I don't recall even clicking on the Device Security tab at all, as my changes weren't necessary there -- at the worst, I may clicked it and then clicked back (miscue with the mouse).  Anyway, as the managment log shows, the ACC Webadmin looked at the password (which is hidden) and decided that the & in the middle of it needed to have a 'amp;' injected next to it (HTML).  When it saved, it saved this new invalid password.

For some reason, the 8.103 ASGs apparently did not auto-update to the new gateway secret (that box is checked) but the 8.300 units did, hence why things happened the way they did.

So... it looks like there's an issue with the parsing of that gateway secret (what's funny is manually pasting it back in and hitting apply in the device security tab does work correctly) in this particular scenario, and apparently 8.103 gateway secret auto-update does not work (which is not a big deal, as 8.300 does appear to have this working).

Note that, again, I did not enter anything into the gateway secret blank at all to cause this... changing another setting and hitting apply (in another tab), caused the node change listed in the attached screenshot.  Worst case, if my memory is "fuzzy" I might have just hit apply in Device Control if I tabbed to it accidentally -- I certainly didn't add 'amp;' to the password.  Oh... and this was using Firefox 9.0.1 on Windows Vista 32 Bit, all patches and SPs applied.


This thread was automatically locked due to age.
Parents
  • Mods, I tried to change the version in the title, but for some reason it changes inside the thread but not in the main thread list.  I, of course, meant ACC 3.000 -- I have ASG 8.300 on the brain right now.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • For what it's worth, this is also a problem in ASG 8.300 (and probably earlier versions) as well... if one goes to the ACC tab in ASG, and hits the Apply button -- if the Gateway Shared Secret contains a '&' symbol, it is replaced automatically by the ASG with '&' -- this is something I reported during a few of the ASG betas, but only now have I figured out it has to do with the '&' symbol being used in a shared secret.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • Hi Bruce,

    thank you for the report. We could reproduce the issue and will address it.


    For some reason, the 8.103 ASGs apparently did not auto-update to the new gateway secret (that box is checked) but the 8.300 units did, hence why things happened the way they did.


    ASG V8 had the bug that it couldn't store the changed psk correctly. This
    was fixed within V8.3.

    The bug was such that the acc-agent on the ASG recognized the psk
    change and reconnected with the new psk. But as it could not store the
    psk correctly it could not connect after a further reconnect. So in your case
    there must have been a connection interruption due to some reason so
    that your 8.103 devices could not reconnect as they used the old psk. This
    explains why first only your 8.103 appeared offline in ACC.


    After the reboot, all of the ASGs showed as disconnected (including the ones running 8.300)


    I don't understand why your 8.3 devices showed as disconnected after the
    ACC reboot.

    Regards, Hakan
Reply
  • Hi Bruce,

    thank you for the report. We could reproduce the issue and will address it.


    For some reason, the 8.103 ASGs apparently did not auto-update to the new gateway secret (that box is checked) but the 8.300 units did, hence why things happened the way they did.


    ASG V8 had the bug that it couldn't store the changed psk correctly. This
    was fixed within V8.3.

    The bug was such that the acc-agent on the ASG recognized the psk
    change and reconnected with the new psk. But as it could not store the
    psk correctly it could not connect after a further reconnect. So in your case
    there must have been a connection interruption due to some reason so
    that your 8.103 devices could not reconnect as they used the old psk. This
    explains why first only your 8.103 appeared offline in ACC.


    After the reboot, all of the ASGs showed as disconnected (including the ones running 8.300)


    I don't understand why your 8.3 devices showed as disconnected after the
    ACC reboot.

    Regards, Hakan
Children
  • I don't either... but, at any rate, I'm just glad I'm not crazy -- I reported something like this during the various V8 Betas but it was never reproducible -- the key is the '&' character in that field.  Thanks for taking a look at this.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • Hakan, should I report the "matching" bug in ASG 8.300, or will you take care of that?

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • It's already implicitly done. The ACC is built upon the ASG, i.e. it is an ASG
    plus the ACC daemon plus the gateway manager. Since the bug is on the ASG
    part, there is only one location where to fix it.

    Regards, Hakan