Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 2 subscribers
  • Views 27214 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[9.000] IPS blocks many Websites !

xenon2008
Hello,

Since i have upgraded my ASG to v9.000-8 many Websites does not load or load only very slowly and not correctly!

I have only IPS eneabled! No Proxy or Application Control...

In the IPS log is always one event shown like this:
2012:07:22-17:42:49 ***XX-1 snort[5377]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="WEB-CLIENT Microsoft Internet Explorer colgroup tag uninitialized memory exploit attempt" group="320" srcip="2.21.97.107" dstip="192.1XX.***.***" proto="6" srcport="80" dstport="4086" sid="11257" class="Attempted User Privilege Gain" priority="1" generator="1" msgid="0"

for example this websites:
Golem.de: IT-News für Profis
feature.astaro.com

and many other websites ...

what ist "WEB-CLIENT Microsoft Internet Explorer colgroup tag uninitialized memory exploit attempt" ? i dont want to disable the complete rule ....

please help me [:(]

best regards
xenon


This thread was automatically locked due to age.
  • 0
    Hi,

    I had a similar setup on my internal network and have observed the same behaviour, and thougt it was the DNS, that were causing the problems. 

    I also use version UTM version 9.

    I have not found the reason, but a (tempoary) workaround. By running the network through the proxy all the problems is gone.
  • 0
    if the ips is picking something up it may be something to watch out for.  make sure your systems are all updated before disabling.  routing through http proxy is good as long as you ahve a/v on and you have the block spyware commuications enabled as well.
  • 0 in reply to William Warren
    That appears to be a new IPS rule, it has only started showing up seriously in the last couple of days.
    I am seeing the same rule applied to ff on my MAC.

    Ian
  • 0
    the ips isn't interested int he client..it inspects only the traffic.  if the site is compromised by that exploit toolkit you'll get that warning no matter what client you use.
  • 0
    I'm pretty sure IPS rule sid="11257" is triggering false positives... it prevents feature.astaro.com from working as well:
    http://www.astaro.org/astaro-gateway-products/network-security-firewall-nat-qos-ips/43675-9-000-ips-blocks-feature-astaro-com.html

    I disabled that rule in the IPS settings.

    Barry
  • 0
    I can confirm this specific IPS rule (11257, WEB-CLIENT Microsoft Internet Explorer colgroup tag uninitialized memory exploit attempt) is causing issues with web pages loading in all browsers.  The symptoms vary by website; some will display content while continuously loading and others will not load at all. I've experienced it for at least 2, possibly more, days now.

    Infinitely loading example: Astaro Security Gateway Feature Requests: Hot (927 ideas)
    No loading example: http://tunnelbroker.net

    Disabling the rule makes everything work happily again. According to the SNORT page this exploit targets Internet Explorer 5, so presumably it's been in the rules for a while. Why would it cause issues now?
  • 0
    The snort rule has been around for at least a couple of years, but I'm not sure how long it's been in Astaro.

    Here's a copy of the snort rule (from 2009-12), fwiw:
    web-client.rules:
    alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"WEB-CLIENT Microsoft Internet Explorer colgroup tag uninitialized memory corruption vulnerability"; flow:to_client,established; content:"]*id\s*=\s*(?P\x22|\x27|)(?P\w+)(?P=q1)[^>]*>.*\s+(?P=q2)\.delete/smi"; metadata[:P]olicy security-ips drop; reference:bugtraq,23771; reference:cve,2007-0944; reference:url,www.microsoft.com/technet/security/bulletin/ms07-027.mspx; classtype:attempted-user; sid:11257; rev:2[;)]


    Barry
  • 0
    Hi all,

    Thought I would let everyone know about another rule that is giving me issues.  I am trying to load eBay and it keeps getting stuck when it would reach the site "ir.ebaystatic.com".  Because I was having the same issue listed above I decided to check my IPS logs.  Sure enough it was spitting out this over and over:

    2012:07:26-22:34:20 firewall snort[3492]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="WEB-CLIENT Microsoft Internet Explorer HTML DOM invalid DHTML textnode creation attempt" group="320" srcip="208.47.254.49" dstip="192.***.***.***" proto="6" srcport="80" dstport="49817" sid="20278" class="Attempted User Privilege Gain" priority="1" generator="1" msgid="0" 

    I already have the other rule disabled that is listed above and I can randomly load eBay from time to time.

    Is rule 20278 giving anyone else any issues?
  • 0
    So no one else is having issues with any other rules?  Since my last post I have had issues with these rules as well:

    16320  WEB-CLIENT Adobe PNG empty sPLT exploit attempt
    17042  WEB-CLIENT Microsoft LNK shortcut download attempt

    Granted those were dealing with one specific website and a Linux ISO I was trying to download.  However, I had to disable 20278 to load some websites (such as eBay mentioned above).

    Just want to make sure something isn't configured incorrectly on my side.  Although nothing has changed between v8 and v9.  Did the install and a restore of my backup.
  • 0 in reply to Darkwarlord
    Hello,

    I have the same failure with this adobe png empty sPLT.



    16320  WEB-CLIENT Adobe PNG empty sPLT exploit attempt
    17042  WEB-CLIENT Microsoft LNK shortcut download attempt


    A temporarly soloution is to disable both rules!
    Then web surfing and downloading works great [;)]

    I hope sophos will fix that..

    Best regards
    Xenon

    Sent from my iPhone using Astaro.org

    Edit:

    Please also see here! Same id with in my first post here but with an empty entry in the overview!

    http://www.astaro.org/astaro-gateway-products/network-protection-firewall-nat-qos-ips/43868-bug-utm-9-000-empty-entry-ips-overview.html

    Xenon