iT邦幫忙

1

【FortiGate 80C】請問這個警示訊息如何處理?

各位大大們好!
最近持續收到FortiGate 80C的警示訊息:

Message meets Alert condition
The following intrusion was observed: .
date=2019-10-25 time=10:30:52 devname=FGT80Cxxxxxxxxxx device_id=FGT80Cxxxxxxxxxx log_id=0419016384 type=ips subtype=signature  pri=alert severity=high carrier_ep="N/A" profilegroup="N/A" profiletype="N/A" profile="N/A" src=xx.xxx.xx.xx[內部IP] dst=xx.xxx.xx.xx[外部IP] src_int="internal" dst_int="wan2" policyid=15 intf_policyid=N/A identidx=0 serial=198388136 status=detected proto=6 service=http vd="root" count=1 attack_name=MailEnable.WebMail.Authentication.Buffer.Overflow src_port=60207 dst_port=80 attack_id=10910 sensor="default" ref="http://www.fortinet.com/ids/VID10910" user="N/A" group="N/A" incident_serialno=830011001 msg="web_app: MailEnable.WebMail.Authentication.Buffer.Overflow,"

請問各位大大,這是使用者的電腦裡被植入了什麼程式嗎?
(有先用防毒軟體掃過了,但沒有找出什麼)
(防毒軟體是ESET ENDPOINT SECURITY)
感謝~

slime iT邦大師 1 級 ‧ 2019-10-25 13:23:35 檢舉
個人會考慮幾個方式:
1. 先看公司內配發IP的機制, 是完全DHCP還是有管理MAC-IP, 如果有管理MAC-IP, 找到該電腦.
2. 防火牆設幾條規則, 對該IP紀錄相關連線, 觀察防火牆session數.
3. 到該機執行netstat -n查詢是否有那些連線.
4. 將硬碟拆下拿到相對乾淨的電腦掃描看看.
3
mytiny
iT邦大師 1 級 ‧ 2019-10-25 19:18:49
最佳解答

在下的淺見是這樣的:
電腦很少會犯錯,它看到什麼就是什麼
人才容易犯錯,人會主觀的判斷事物

樓主的警告信息內容
很顯而易見的,是內網的IP去聯外網的IP
所以,不是貴公司有用什麼產品
而是client用了80的通訊去對方的網頁郵件(HTTPMail)
至於是有知覺還是不自覺的,樓主需要去查證

FortiGuard的翻譯如下:
這表明可能利用了HTTPMail(MailEnable的一部分)中的緩衝區溢出漏洞,該漏洞可能允許遠程攻擊者通過長的HTTP授權標頭執行任意代碼。要利用此漏洞,攻擊者可以向TCP端口8080上的漏洞系統發送特製請求,從而導致緩衝區溢出,該溢出可能允許執行任意代碼。

如何解決問題,其實很簡單
Fortigate的IPS不是死的、固定不動的
而是應該常常觀察而做調整
根據樓主提供的訊息:
事件發生是在防火牆政策ID第15條
其中開啟了UTM的設定中IPS的設定為default
而威脅程度為high
但IPS作用僅為偵測而放行session
請至IPS設定中將default類別中的MailEnable.WebMail.Authentication.Buffer.Overflow
作用改變為"阻擋",下次樓主看到的紀錄就會變為drop
(當然,不同OS版本用字有差異,也可能是block)
另外,最終也是要詳查終端設備

建議樓主對於Fortigate的運用可再加強一點
基本上不建議設備購買後當成網路架構一員而已
可以把它當成網路安全諮詢的對象
時時觀察它所提供的內容訊息並予以解讀
當然,也可以去購買市場上SIEM或是其他分析系統
那就又是另一回事了

hcw1017 iT邦新手 5 級 ‧ 2019-10-28 11:00:05 檢舉

您好,感謝您的回覆,真的是受益良多,已經設定好相關設定,再持續觀察看看。/images/emoticon/emoticon41.gif

0
逢摸必爆MIS
iT邦新手 3 級 ‧ 2019-10-25 11:58:25

看起來像是某漏洞提醒
然後跟MailEnable Enterprise有關

看能不能把這個程式更新

內文所含資訊報告:https://fortiguard.com/encyclopedia/ips/10910

hcw1017 iT邦新手 5 級 ‧ 2019-10-25 12:28:16 檢舉

您好,感謝您的回覆,因為公司並未使用MailEnable Enterprise的相關軟體,所以覺得不解。

0
hsiang11
iT邦研究生 2 級 ‧ 2019-10-25 12:18:17

IPS偵測到有攻擊
src_int="internal" 來源內部
MailEnable.WebMail.Authentication.Buffer.Overflow

fortinet是說明這是一個緩衝區溢位漏洞
Affected Products
MailEnable Enterprise 1.04 and earlier.
Professional 1.54 and earlier.
先朝向查公司是否有此類產品 判定問題是否有嚴重性

hcw1017 iT邦新手 5 級 ‧ 2019-10-25 12:31:28 檢舉

您好,感謝您的回覆,因為來源的內部IP是使用者的個人PC,並不是Server端,而且內部並未使用相關的產品或軟體。但一直出現警示訊息,所以想詢問是否有解決方式。

hsiang11 iT邦研究生 2 級 ‧ 2019-10-25 16:50:37 檢舉

IPS也有可能產生誤判 如果貴公司是確實有買授權
那就長期觀察後面更新後會不會解決此問題
如果是電腦根本沒人使用的狀態都會去攻擊server
那就可能真的有問題了

我要發表回答

立即登入回答