The following intrusion was observed - Mozilla.Firefox.Chrom
Publicado: 30 May 2013, 13:25
Hola,
Tenemos una Fortigate 110C con v4.0,build0349,120904 (MR2 Patch 13) y me encuentro con que hay un par de mensajes de alerta en el log de los últimos días con el siguiente texto:
Message meets Alert condition
The following intrusion was observed: .
date=2013-05-28 time=10:07:47 devname=FGT110C device_id=FG100Cxxxxx log_id=0419016384 type=ips subtype=signature pri=alert severity=high carrier_ep="N/A" profilegroup="N/A" profiletype="N/A" profile="N/A" src=2.22.178.116 dst=192.---.---.xxxsrc_int="port1" dst_int="wan1" policyid=1 intf_policyid=N/A identidx=0 serial=2421648 status=detected proto=6 service=49576/tcp vd="root" count=1 src_port=80 dst_port=49576 attack_id=13448 sensor="protect_client" ref="http://www.fortinet.com/ids/VID13448" user="N/A" group="N/A" incident_serialno=1322911253 msg="web_client: Mozilla.Firefox.Chrome.Page.Loading.Restriction.Bypass
Por la información que veo en el link se supone que es un exploit relacionado con Mozilla pero en las versiones actuales ya se supone que está solucionado, sin embargo al aparecer esta información entiendo que hay un problema.
Me surge la duda de si hay alguien conectándose desde el exterior a las dos direcciones IP internas que aparecen en los mensajes o la Fortigate las estaría bloqueando, y en caso de que no las estuviera bloqueando ¿qué podría hacer para bloquear esa dirección?
Muchas gracias
Tenemos una Fortigate 110C con v4.0,build0349,120904 (MR2 Patch 13) y me encuentro con que hay un par de mensajes de alerta en el log de los últimos días con el siguiente texto:
Message meets Alert condition
The following intrusion was observed: .
date=2013-05-28 time=10:07:47 devname=FGT110C device_id=FG100Cxxxxx log_id=0419016384 type=ips subtype=signature pri=alert severity=high carrier_ep="N/A" profilegroup="N/A" profiletype="N/A" profile="N/A" src=2.22.178.116 dst=192.---.---.xxxsrc_int="port1" dst_int="wan1" policyid=1 intf_policyid=N/A identidx=0 serial=2421648 status=detected proto=6 service=49576/tcp vd="root" count=1 src_port=80 dst_port=49576 attack_id=13448 sensor="protect_client" ref="http://www.fortinet.com/ids/VID13448" user="N/A" group="N/A" incident_serialno=1322911253 msg="web_client: Mozilla.Firefox.Chrome.Page.Loading.Restriction.Bypass
Por la información que veo en el link se supone que es un exploit relacionado con Mozilla pero en las versiones actuales ya se supone que está solucionado, sin embargo al aparecer esta información entiendo que hay un problema.
Me surge la duda de si hay alguien conectándose desde el exterior a las dos direcciones IP internas que aparecen en los mensajes o la Fortigate las estaría bloqueando, y en caso de que no las estuviera bloqueando ¿qué podría hacer para bloquear esa dirección?
Muchas gracias