CRIT-852 Intrusion Prevention Alert Packet dropped deploy.static.akamaitechnologies.com

bl0cks1z3
Goto Top
Hallo Admins,

seit Wochen meldet mir unsere Sophos UTM täglich Tonnen von Intrusion Prevention Alerts:

Intrusion Prevention Alert

An intrusion has been detected. The packet has been dropped automatically.
You can toggle this rule between "drop" and "alert only" in WebAdmin.

Details about the intrusion alert:

Message........: FILE-OTHER Interactive Data eSignal stack buffer overflow attempt
Details........: https://www.snort.org/search?query=20842
Time...........: 2022-01-19 09:40:32
Packet dropped.: yes
Priority.......: high
Classification.: Attempted User Privilege Gain IP protocol....: 6 (TCP)

Source IP address: 95.101.90.224 (a95-101-90-224.deploy.static.akamaitechnologies.com)
Source port: 80 (http)
Destination IP address: XXXXXXXXXXXXXXXXXXXXXXXXXXX Destination port: 50400

--
HA Status : HA MASTER (node id: 2)
System Uptime : 29 days 14 hours 29 minutes
System Load : 0.69
System Version : Sophos UTM 9.707-5

Please refer to the manual for detailed instructions.

Als Quelle wird immer ein Server von deploy.static.akamaitechnologies.com (hier a95-101-90-224.deploy.static.akamaitechnologies.com) gemeldet.

Die Server scheinen ja zum M$ App-Store zu gehören und die Alerts werden wohl generiert, wenn die PC im Netzwerk versuchen eine App aus dem App-Store zu aktualisieren.

Habt Ihr ähnliche Probleme? Wie habt Ihr die gelöst? Ich kann bei der Sophos UTM in der IPS leider keine Ausnahme *.deploy.static.akamaitechnologies.com konfigurieren - oder ich weiß nicht wie es geht.

Die komplette Regel 20842 zu deaktivieren, ist mir aber zu gefährlich.

Nur, wenn die PC die Apps nicht aktualisieren weil die IPS das verhindert, werden die Nachrichten nie verschwinden.

VG

Bl0ckS1z3

Content-Key: 1739347542

Url: https://administrator.de/contentid/1739347542

Ausgedruckt am: 25.05.2022 um 14:05 Uhr