各位大大們好!
最近持續收到FortiGate 80C的警示訊息:
Message meets Alert condition
The following intrusion was observed: .
date=2019-10-25 time=10:30:52 devname=FGT80Cxxxxxxxxxx device_id=FGT80Cxxxxxxxxxx log_id=0419016384 type=ips subtype=signature pri=alert severity=high carrier_ep="N/A" profilegroup="N/A" profiletype="N/A" profile="N/A" src=xx.xxx.xx.xx[內部IP] dst=xx.xxx.xx.xx[外部IP] src_int="internal" dst_int="wan2" policyid=15 intf_policyid=N/A identidx=0 serial=198388136 status=detected proto=6 service=http vd="root" count=1 attack_name=MailEnable.WebMail.Authentication.Buffer.Overflow src_port=60207 dst_port=80 attack_id=10910 sensor="default" ref="http://www.fortinet.com/ids/VID10910" user="N/A" group="N/A" incident_serialno=830011001 msg="web_app: MailEnable.WebMail.Authentication.Buffer.Overflow,"
請問各位大大,這是使用者的電腦裡被植入了什麼程式嗎?
(有先用防毒軟體掃過了,但沒有找出什麼)
(防毒軟體是ESET ENDPOINT SECURITY)
感謝~
在下的淺見是這樣的:
電腦很少會犯錯,它看到什麼就是什麼
人才容易犯錯,人會主觀的判斷事物
樓主的警告信息內容
很顯而易見的,是內網的IP去聯外網的IP
所以,不是貴公司有用什麼產品
而是client用了80的通訊去對方的網頁郵件(HTTPMail)
至於是有知覺還是不自覺的,樓主需要去查證
FortiGuard的翻譯如下:
這表明可能利用了HTTPMail(MailEnable的一部分)中的緩衝區溢出漏洞,該漏洞可能允許遠程攻擊者通過長的HTTP授權標頭執行任意代碼。要利用此漏洞,攻擊者可以向TCP端口8080上的漏洞系統發送特製請求,從而導致緩衝區溢出,該溢出可能允許執行任意代碼。
如何解決問題,其實很簡單
Fortigate的IPS不是死的、固定不動的
而是應該常常觀察而做調整
根據樓主提供的訊息:
事件發生是在防火牆政策ID第15條
其中開啟了UTM的設定中IPS的設定為default
而威脅程度為high
但IPS作用僅為偵測而放行session
請至IPS設定中將default類別中的MailEnable.WebMail.Authentication.Buffer.Overflow
作用改變為"阻擋",下次樓主看到的紀錄就會變為drop
(當然,不同OS版本用字有差異,也可能是block)
另外,最終也是要詳查終端設備
建議樓主對於Fortigate的運用可再加強一點
基本上不建議設備購買後當成網路架構一員而已
可以把它當成網路安全諮詢的對象
時時觀察它所提供的內容訊息並予以解讀
當然,也可以去購買市場上SIEM或是其他分析系統
那就又是另一回事了
看起來像是某漏洞提醒
然後跟MailEnable Enterprise有關
看能不能把這個程式更新
IPS偵測到有攻擊
src_int="internal" 來源內部
MailEnable.WebMail.Authentication.Buffer.Overflow
fortinet是說明這是一個緩衝區溢位漏洞
Affected Products
MailEnable Enterprise 1.04 and earlier.
Professional 1.54 and earlier.
先朝向查公司是否有此類產品 判定問題是否有嚴重性