Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 4 subscribers
  • Views 17387 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM & Qualys Guard PCI-DSS scan ?

vilic
Hi guys, 

I have a task of providing the PoC (proof of concept) on replacing TMG with Sophos UTM in a bank that is certified for PCI-DSS compliance.
UTM will be used only with Web Protection and Webserver Protection modules active.

Anyone implemented or using a UTM in that kind of environment ?


This thread was automatically locked due to age.
Parents
  • 0
    New scan after enabling WAF revealed this potential vulnerability. We have confirmed it by running https://github.com/shekyan/slowhttptest tool from the outside.

    Published web services were not responding around 50% of time during the test (240 secs by default).

    Any similar experience or advice before I open the ticket with Sophos ?

    THREAT:
    The web application is possibly vulnerable to a "slow HTTP POST" Denial of Service (DoS) attack. This is an application-level DoS that consumes
    server resources by maintaining open connections for an extended period of time by slowly sending traffic to the server. If the server maintains too
    many connections open at once, then it may not be able to respond to new, legitimate connections. Unlike bandwidth-consumption DoS attacks, the
    "slow" attack does not require a large amount of traffic to be sent to the server -- only that the client is able to maintain open connections for several
    minutes at a time.
    The attack holds server connections open by sending properly crafted HTTP POST headers that contain a Content-Length header with a large value
    to inform the web server how much of data to expect. After the HTTP POST headers are fully sent, the HTTP POST message body is sent at slow
    speeds to prolong the completion of the connection and lock up server resources. By waiting for the complete request body, the server is helping
    clients with slow or intermittent connections to complete requests, but is also exposing itself to abuse.
    More information can be found at the in this presentation
    (https://media.blackhat.com/bh-dc-11/Brennan/BlackHat_DC_2011_Brennan_Denial_Service-Slides.pdf).
    IMPACT:
    All other services remain intact but the web server itself becomes inaccessible.
    SOLUTION:
    Solution would be server-specific, but general recommendations are:
    - to limit the size of the acceptable request to each form requirements
    - establish minimal acceptable speed rate
    - establish absolute request timeout for connection with POST request
    Server-specific details can be found here (https://community.qualys.com/blogs/securitylabs/2011/11/02/how-to-protect-against-slow-http-attacks).
    A tool that demonstrates this vulnerability in a more intrusive manner is available here (slowhttptest - Application Layer DoS attack simulator - Google Project Hosting).
    COMPLIANCE:
    Not Applicable
    EXPLOITABILITY:
    There is no exploitability information for this vulnerability.
    ASSOCIATED MALWARE:
    There is no malware information for this vulnerability.
    RESULTS:
    url: http://172.16.*.*/
    matched: Vulnerable to slow HTTP POST attack
    Connection with partial POST body remained open for: 305121 milliseconds
  • 0 in reply to vilic

    Found the same problem on my implementation of sophos UTM.

    Did you find solution about how to remediate the vulnerability?

Reply Children