Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 3831 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF becoming unresponsive due to possible vulnerability.

bloudraak_01
Hello,

I'm running a Sophos UTM 110 device with WAF enabled to protect some web sites.  For the last couple of weeks, WAF would frequently become unresponsive. 

Since I have premium support, I logged a request (#4064760). This post if for anyone seeing the same behaviour. 

In the WAF live logs, the following comes up every time it becomes unresponsive.

2013:10:20-14:12:47 vpn reverseproxy: [Sun Oct 20 14:12:47.971059 2013] [core:notice] [pid 21131:tid 4148041408] AH00051: child pid 21614 exit signal Segmentation fault (11), possible coredump in /tmp
2013:10:20-14:36:01 vpn reverseproxy: [Sun Oct 20 14:36:01.641503 2013] [mpm_worker:notice] [pid 21131:tid 4148041408] AH00295: caught SIGTERM, shutting down



I believe at the route of this is an attack from an Amazon registered IP address (54.243.31.192):

2013:10:20-14:12:41 vpn reverseproxy: [Sun Oct 20 14:12:41.342311 2013] [avscan:error] [pid 21614:tid 3958836080] [client 54.243.31.192:47519] [21614] not all the file sent to the client: 95532 != 90112\n
2013:10:20-14:12:41 vpn reverseproxy: srcip="54.243.31.192" localip="66.209.67.107" size="90112" user="-" host="54.243.31.192" method="GET" statuscode="200" reason="-" extra="-" time="721687" url="/" server="wernerstrydom.com" referer="-" cookie="-" set-cookie="***; expires=Sun, 20-Oct-2013 21:47:25 GMT; path=/, HASH_***; expires=Sun, 20-Oct-2013 21:47:25 GMT; path=/"



The cookies has been obfuscated for security reasons. My website, wernerstrydom.com, is a Wordpress site, and the aim is for WAF to protect it against an attack, since Wordpress isn't the most secure software.

The only way I can address this is by restarting WAF.  Once restarted, entries similiar to the following keep appearing every 20 minutes. 

[avscan:error] [pid 21614:tid 3958836080] [client 54.243.31.192:47519] [21614] not all the file sent to the client: 95532 != 90112\n



Then at some point, the WAF crashes and all access to websites are denied.

My gut tells me that the client, 54.243.31.192, is sending incomplete files to the server, which causes the WAF to crash and in essence exposes a vulnerability. My expectation is that the WAF will detect this behaviour and after a day or so, black list the IP address and have the firewall block all requests from the IP addresses. However, it doesn't seem like WAF detects this as an attack.

Are my assumptions correct?

In the past, I simply dropped all packets that originates from Amazon EC2. However, that lists keeps on changing. Its tedious to keep the network definitions up to date and as the lists change, makes the device vulnerable to an attack.  Am I the only one who thinks Amazon EC2 IP addresses should be blocked by default, except for ones I explicitly trust? 

Sincerely, 
Werner


This thread was automatically locked due to age.
Parents
  • 0
    I had been experiencing similar behavior.  I'm currently running 9.105-9 on a virtual appliance in a Hyper-V environment to protect DotNetNuke-based websites.  However, I never noticed if the crashes had been preceded from a visit from Amazon EC2 addresses.

    Initially, the crashes were occurring daily.  Sophos support had me rebuild the appliance from scratch.  This seemed to work as the UTM appliance ran without a crash for a couple of weeks.  

    Then 2 or 3 weeks later, the WAF service crashed again.  I logged another call with Sophos support.  It took them a few days, but they shelled into the appliance and applied a fix to WAF service.  I asked for specifics as to what was done but they only said the fix would be included in a future release of the firmware.  They didn't provide further details.

    It's been running without a crash for a good 2 or 3 weeks so far.  Hopefully, the issue is fixed.

    If anyone else is experiencing similar problems, I highly recommend the pingdom.com service so that you know exactly when your sites become inaccessible from the Internet.  You can monitor 10 sites for free for a month as you and Sophos are troubleshooting the problem.  I like that service so much that I opted for the annual contract once the trial period ended.

    I hope that this helps someone else.


    See Ya!
    Van
Reply
  • 0
    I had been experiencing similar behavior.  I'm currently running 9.105-9 on a virtual appliance in a Hyper-V environment to protect DotNetNuke-based websites.  However, I never noticed if the crashes had been preceded from a visit from Amazon EC2 addresses.

    Initially, the crashes were occurring daily.  Sophos support had me rebuild the appliance from scratch.  This seemed to work as the UTM appliance ran without a crash for a couple of weeks.  

    Then 2 or 3 weeks later, the WAF service crashed again.  I logged another call with Sophos support.  It took them a few days, but they shelled into the appliance and applied a fix to WAF service.  I asked for specifics as to what was done but they only said the fix would be included in a future release of the firmware.  They didn't provide further details.

    It's been running without a crash for a good 2 or 3 weeks so far.  Hopefully, the issue is fixed.

    If anyone else is experiencing similar problems, I highly recommend the pingdom.com service so that you know exactly when your sites become inaccessible from the Internet.  You can monitor 10 sites for free for a month as you and Sophos are troubleshooting the problem.  I like that service so much that I opted for the annual contract once the trial period ended.

    I hope that this helps someone else.


    See Ya!
    Van
Children
No Data
Unfiltered HTML