[English]Kurze Info für Administratoren, die Sophos XG als Firewall und Sicherheitslösung einsetzen. Am 25. November 2021 gab es wohl ein Update des Antivirus-Pattern, der bei einem Anwender zumindest den Versand von Mails blockierte. Der betreffende IT-Administrator hat mich auf diesen Sachverhalt hingewiesen und ich stelle es zur Information hier im Blog ein.
Anzeige
Blog-Leser Mario O. hat mich heute Früh per Mail kontaktiert und über deren gestrige Beobachtung in Bezug auf eine plötzliche Störung des Mailversands informiert (danke dafür). Dort ist Sophos XG im Einsatz und Mario schrieb:
Guten Morgen Herr Born,
wir hatten gestern ein interessantes Problem mit unserer Sophos XG. Bestimmt sind auch andere Blog Leser davon betroffen gewesen.
Mir ist gestern Abend aufgefallen das bei uns seit 14:06 Uhr keine Mails mehr rausgingen. Die sind alle im Spooler der Sophos hängen geblieben.
Laut dem Log wurden die Mails angenommen und warten darauf auf Viren gescannt zu werden. Aber genau das funktionierte anscheinend nicht mehr.
Daraufhin habe ich in den Logs gesehen das um 14:06 Uhr Antivirus-Pattern eingespielt wurden. Diese waren vermutlich defekt.
Ein Neustart des Antivirus Dienstes hat nicht geholfen. Die Mails wollten ums Verrecken nicht raus.
Irgendwann heute Nacht hat sich das Problem dann von alleine gelöst, kann nur an neuen funktionierenden Antivirus-Pattern gelegen haben.
Unsere angestauten Mails sind dann alle zugestellt worden.
Unser Dienstleister hat mir bestätigt das auch ein anderer Kunde betroffen war.
Vielleicht hilft es dem einen oder anderen IT-Administrator oder Dienstleister, falls Anwender nachfragen. Im Sophos-Forum habe ich auf die Schnelle nichts gefunden – da gibt es nur einen 4 Tage alten Thread zu Druckproblemen, was wohl einige Admins plagt.
Ergänzung: Auf Facebook hat mir Michael Z. (danke dafür) noch die nachfolgende Information übermittelt.
Anscheinend betraf das auch das Advanced Threat Protection, dieses meldete eine Verdächtige Kommunikation auf Basis von C2/Monera-A2 (Crypto Miner), nach stundenlangen Suchen, Scannen und Protokolle lesen stellte sich heraus das es ein False-Positive war, der „verdächtige Verkehr" endete auch adhoc gestern und [um] 9:35 Uhr.
Sophos XG Firewall
Für Leser, die das Produkt nicht kennen: Sophos hat hier eine kurze Beschreibung veröffentlicht. Die XG Firewall liefert detaillierte Informationen über Benutzer mit Risikopotenzial, unbekannte und unerwünschte Anwendungen, komplexe Bedrohungen, verdächtige Payloads, verschlüsselten Datenverkehr u.v.m.
Die Sophos XG Firewall bietet Technologien zum Schutz Ihres Netzwerks vor Ransomware und komplexen Bedrohungen: u .a. ein IPS, Advanced Threat Protection, Cloud Sandboxing mit Deep Learning, dualen Virenschutz, Web und App Control, Email Protection und eine funktionsstarke Web Application Firewall.
Die Sophos XG Firewall kann als Netzwerk-Security-Lösung die Quelle einer Infektion vollständig identifizieren und als Reaktion den Zugriff auf andere Netzwerkressourcen automatisch beschränken. Ermöglicht wird dies durch Sophos Security Heartbeat, der Telemetrie- und Statusdaten zwischen Sophos-Endpoints und der Firewall austauscht.
Ähnliche Artikel:
Let's Encrypt-Zertifikate-Ärger mit Windows, Sophos UTM, macOS/iOS (30.9.2021)
Sophos behebt SQL-Injection-Schwachstelle in Cyberoam OS
Sophos informiert Kunden über Datenschutzvorfall (Nov. 2020)
Chrome 84 & Sophos Authentication for Thin Clients (SATC)
Hackerangriff per 0-day-Exploit auf Sophos Firewalls
2015
