Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 25 subscribers
  • Views 6709 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Probleme mit der WAF seit 9.2 ?

Alphatec
Hallo zusammen,

Hat jemand Probleme mit der WAF seit dem Update auf 9.2 ? Wir haben das Problem das OWA und andere Portale nach dem Update nicht mehr funktinieren [:@]

Im Log finde ich einige Meldungen mit SQL-Injections (unabhängig auf 3 verschiedenen UTM's)  

 reverseproxy: [Mon May 26 09:23:45.803821 2014] [security2:error] [pid 8130:tid 3946158960] [client x.x.x.x] ModSecurity: Warning. Pattern match "(^[\"'`\xc2\xb4\xe2\x80\x99\xe2\x80\x98;]+|[\"'

`\xc2\xb4\xe2\x80\x99\xe2\x80\x98;]+$)" at REQUEST_COOKIES:cadata. [file "/usr/apache/conf/waf/modsecurity_crs_sql_injection_attacks.conf"] [line "64"] [id "981318"] [rev "2"] [msg "SQL Injection Attack: Common Injection Testing

Detected"] [data "Matched Data: \x22 found within REQUEST_COOKIES:cadata: \x220M2kAvdS8Mar8s7/xxB831hG6Yq6ZPW83GfL7tNqnPGJtICe k46n8ww1xvgm/dB7g24eqQ==\x22"] [severity "CRITICAL"] [ver "OWASP_CRS/2.2.7"] [maturity "9"] [accuracy "8"]

[tag "OWASP_CRS/WEB_ATTACK/SQL_INJECTION"] [tag "WASCTC/WASC-19"] [tag "OWASP_TOP_10/A1"] [tag "OWASP_AppSensor/CIE1"] [tag "PCI/6.5.2"] [hostname "owa.rjd.de"] [uri "/owa/"] [unique_id "U4LsAcCojAEAAB-CodAAAABW"]

2014:05:26-09:23:45 sophos-2 reverseproxy: [Mon May 26 09:23:45.806064 2014] [security2:error] [pid 8130:tid 3946158960] [client x.x.x.x] ModSecurity: Access denied with code 403 (phase 2). Pattern match "(.*)" at TX:981318-OWASP_CR

S/WEB_ATTACK/SQL_INJECTION-REQUEST_COOKIES:cadata. [file "/usr/apache/conf/waf/modsecurity_crs_inbound_blocking.conf"] [line "26"] [id "981176"] [msg "Inbound Anomaly Score Exceeded (Total Score: 5, SQLi=5, XSS=): Last Matched Message: S

QL Injection Attack: Common Injection Testing Detected"] [data "Last Matched Data: \x22"] [hostname "owa.rjd.de"] [uri "/owa/"] [unique_id "U4LsAcCojAEAAB-CodAAAABW"]

2014:05:26-09:23:45 sophos-2 reverseproxy: [Mon May 26 09:23:45.806233 2014] [security2:error] [pid 8130:tid 3946158960] [client x.x.x.x] ModSecurity: Warning. Operator GE matched 5 at TX:inbound_anomaly_score. [file "/usr/apache/co

nf/waf/modsecurity_crs_correlation.conf"] [line "37"] [id "981204"] [msg "Inbound Anomaly Score Exceeded (Total Inbound Score: 5, SQLi=5, XSS=): SQL Injection Attack: Common Injection Testing Detected"] [hostname "owa.rjd.de"] [uri "/o

wa/"] [unique_id "U4LsAcCojAEAAB-CodAAAABW"]



Die ID's habe ich schon geskippt, bringt nischt


This thread was automatically locked due to age.
  • 0
    Jupp, kann ich auch bestätigen, musste bei einem älteren Webserver der nach draußen über die WAF freigegeben wird u.a. auch den SQL-Injection-Schutz rausnehmen weil es lauter forbidden Meldungen hagelte [:O]

    Ich hoffe, dass die nächsten Updates das Problem lösen...oder jmd schreit hier mal rein was wir falsch konfiguriert haben [:$]
  • 0
    Gut zu wissen, werde ich umgehend testen. Auch wenn es unschön ist wenn der Schutz deaktiviert ist, aber hilft alles nix....
  • 0
    Hi,
    ich musste 4 IDs rausnehmen, damit der Server wieder erreichbar war.

    Gibt es irgendeine Möglichkeit herauszufinden, was welche Regel macht? Ich meine, außer darauf zu warten, dass sie was blockiert. 
    Gibt es irgendwo ne Doku dazu, außer den Quellcode zu lesen?
    Gruß Nathan
  • 0
    Hmmmm....wenn ich das richtig sehe kann man SQL-Injection bei der WAF nur aktivieren oder deaktivieren, mehr nicht. [:S]
  • 0 in reply to TBcosinus
    Hmmmm....wenn ich das richtig sehe kann man SQL-Injection bei der WAF nur aktivieren oder deaktivieren, mehr nicht. [:S]


    Mit Filterregeln übergehen kann man schon was wieder deaktivieren, ohne die SQL Injection komplett ausschalten zu müssen.
    Filterregeln übergehen: Manche der ausgewählten Bedrohungskategorien können Regeln enthalten, die zu Falschmeldungen führen. Um das Anzeigen von Falschmeldungen, die von einer bestimmten Regel generiert werden, zu vermeiden, fügen Sie die Nummer der zu überspringenden Regel in dieses Feld ein.Die WAF-Regel-Nummern können Sie beispielsweise auf der Seite Protokolle & Berichte > Webserver Protection > Details mit Hilfe des Filters Häufigste Regeln abrufen.

    Es wäre halt schon schöner, man wüsste in etwa, was wo passiert, bzw. kann ggf. Regeln anpassen, so wie das in der Web Protection möglich ist.
  • 0
    Hier dasselbe Problem... :-( 
    Im englischsprachigen Forum ist das auch Thema: https://community.sophos.com/products/unified-threat-management/astaroorg/f/57/t/50205
    Nur die Hilfestellung bringt mich grade nicht wirklich weiter...
  • 0
    Einzige Abhilfe im Moment ist Deaktivierung der SQL-Injection-Protection, das kann aber nicht Sinn der Sache sein. Deaktivierung einzelner Filterregeln wie beschrieben hat nicht ausgereicht. Anscheinend ist die neue WAF so scharf eingestellt, dass sie sehr oft übers Ziel hinausschießt. Ist da Besserung zu erwarten? Oder eine Handreichung seitens Sophos zur korrekten Einstellung aller Stellschrauben?
  • 0
    Ja, exakt denselben Fehler hatte ich auf zwei Webservern (beide mit einer Eigenentwicklung).
    Deaktivierung der SQL-Injections löst dieses Problem.
    Hatte leider kein Ticket geöffnet, da ich davon ausging, dass es schlecht programmiert war/ist.

    Hat jemand ein Ticket dazu offen?

    Nice greetings
  • 0
    Hallo Leute, 

    habe das gleiche Problem mit der WAF9.2.

    Ich weiß die Frage wurde jetzt paar mal gestellt - aber ist das Problem bei Sophos bekannt und wird evtl. bald behoben?

    Danke!
  • 0
    Liest hier jemand von Sophos mit? Es wäre schön, wenn es da mal eine Aussage dazu geben würde...?!
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?