Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 2495 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

GM Sites won't load with IPS on (chevrolet.com, cadillac.com, buick.com)

ninety6
I have an issue on my Sophos UTM Home where various GM sites won't load with IPS on.  

For example:
www.chevrolet.com
www.cadillac.com
www.buick.com

they sit and spin, and never load.  Turn off IPS, and they load fine.  Turn IPS back ON -- and if they've already been loaded, they will load fine for a while (not sure how long).  Browser doesn't matter, (chrome or IE).  End user computer doesn't matter either...

The SRCIP listed below changes based on the website requested.

In the live log, this is what I see when trying to load the page (once for each request):

2015:02:01-09:21:34 jevpn snort[18918]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="BROWSER-IE Microsoft Internet Explorer CSS style memory corruption attempt" group="320" srcip="23.65.17.175" dstip="192.168.1.105" proto="6" srcport="80" dstport="57111" sid="19873" class="Attempted User Privilege Gain" priority="1" generator="1" msgid="0"

2015:02:01-09:22:52 jevpn snort[18918]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="BROWSER-IE Microsoft Internet Explorer CSS style memory corruption attempt" group="320" srcip="23.65.21.241" dstip="192.168.1.105" proto="6" srcport="80" dstport="57325" sid="19873" class="Attempted User Privilege Gain" priority="1" generator="1" msgid="0"



Anyone else have the issue?  Seems likes a false positive, and would like to be able to load the sites without issue.  It's been going on through various updates and patches, its not a new issue.  I'm on the most recent release.  What would be the best to get this correct, without having to create exceptions for various IPs.

Thanks for the help!


This thread was automatically locked due to age.
  • 0
    Network Protection > Intrusion Prevention > Advanced.  Create a rule modification to disable rule 19873 (Rule ID is the SID number from the log) and see what happens.
  • 0
    I have an issue on my Sophos UTM Home where various GM sites won't load with IPS on.  

    For example:
    www.chevrolet.com
    www.cadillac.com
    www.buick.com

    they sit and spin, and never load.  Turn off IPS, and they load fine.  Turn IPS back ON -- and if they've already been loaded, they will load fine for a while (not sure how long).  Browser doesn't matter, (chrome or IE).  End user computer doesn't matter either...

    The SRCIP listed below changes based on the website requested.

    In the live log, this is what I see when trying to load the page (once for each request):

    2015:02:01-09:21:34 jevpn snort[18918]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="BROWSER-IE Microsoft Internet Explorer CSS style memory corruption attempt" group="320" srcip="23.65.17.175" dstip="192.168.1.105" proto="6" srcport="80" dstport="57111" sid="19873" class="Attempted User Privilege Gain" priority="1" generator="1" msgid="0"

    2015:02:01-09:22:52 jevpn snort[18918]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="BROWSER-IE Microsoft Internet Explorer CSS style memory corruption attempt" group="320" srcip="23.65.21.241" dstip="192.168.1.105" proto="6" srcport="80" dstport="57325" sid="19873" class="Attempted User Privilege Gain" priority="1" generator="1" msgid="0"



    Anyone else have the issue?  Seems likes a false positive, and would like to be able to load the sites without issue.  It's been going on through various updates and patches, its not a new issue.  I'm on the most recent release.  What would be the best to get this correct, without having to create exceptions for various IPs.

    Thanks for the help!


    they all work here.  What version of UTM?
  • 0
    9.306-6, but its done it for at least the past 6 months or so (can't recall the first time I saw it honestly).  I'm generally up to date within a week.

    Disabling the rule in advanced (while leaving IPS as a whole ON of course) seemed to work, thanks for that tip.  I guess in theory, that opens up a tiny vulnerability, but probably not much of a real concern.

    Interesting other IPS wouldn't have the same behavior....
  • 0
    My contention is if thi is an isolated case then there is something on your network triggering this rule.  If it was a widespread issue then disabling it would be a good idea.  Keep an eye out on things..i would also check your network in case there is something causing this.  Ips false positives IME are not common enough to make disabling rules a normal course of action...just my .02.  

    it may not necessarily be malware BUT some other program that is running somewhere.
  • 0 in reply to William Warren
    My contention is if thi is an isolated case then there is something on your network triggering this rule.  If it was a widespread issue then disabling it would be a good idea.  Keep an eye out on things..i would also check your network in case there is something causing this.  Ips false positives IME are not common enough to make disabling rules a normal course of action...just my .02.  

    it may not necessarily be malware BUT some other program that is running somewhere.



    Interesting, I'll be interested to see if indeed its JUST me having this issue with those sites, or if someone else sees the same thing.  

    My network is clean (malware/av wise), but I could actually eliminate some hops for testing purposes and see if a particular device is contributing.  

    I do know so far, it happens on desktop / laptop / chrome / IE / Win7 / Win8 / Wireless / Wired (wireless AP vs separate network switch), and i know it does it on a different wireless router and different switch.  I've also switched my cable modem since the issue began, and that didn't change behavior.

    I may have to play around a little bit in a few weeks when I get a chance, especially if its ONLY me with this particular issue.  If no one else has a problem with the same UTM setup, then obviously its something specific to my network, or the hardware I'm using for UTM...

    This is really the only issue i've had with it -- been running it for almost a year I think.  Love it.  Only other issue is that it slows stuff down a bit internet wise, but I know thats because my hardware is old / single core processor.... just an old computer that was laying around..
  • 0
    The rule-offending IPs are NOT the main site IPs, which is interesting...

    Just did a who is on the offending IPs (both give me the same info):

    IP Location United States United States Washington Akamai Technologies Inc.
    ASN United States AS7843 TWCABLE-BACKBONE - Time Warner Cable Internet LLC (registered Jan 23, 1997)
    Resolve Host a23-65-21-241.deploy.static.akamaitechnologies.com
    Whois Server whois.arin.net
    IP Address 23.65.21.241


    The server IPs of the websites in question are registered to GM of course.  So i wonder if its something with TWC network changing the traffic in some fashion??
  • 0
    Probably a false positive.  Just because a snort rule exists doesn't mean that it's 100% correct or applicable in all cases.