Система защиты блокирует трафик агента инвентаризации, направляемый по протоколу SFTP

[Dronn32]

Добрый день!

Система защиты блокирует трафик  агента инвентаризации, направляемый по протоколу SFTP на сервер.

Причина - выявление сигнатуры эксплуатации уязвимости в OpenSSH.

Rule	reference:cve,2002-0639; reference:cve,2002-0640; classtype:attempted-admin
Summary	This event is generated when an attempt is made to exploit a known vulnerability in OpenSSH.

Как быть в такой ситуации?

[Алексей]

Добрый день!

Мы ранее не сталкивались с подобной проблемой.

Уточните, пожалуйста, какая именно система защиты используется?

Коды ошибок указывают на устаревшие версии OpenSSH на сервере, на который загружаются файлы по SFTP. Пожалуйста, уточните название и версию SFTP-сервера.

[Dronn32]

Добрый день!

Используется система защиты Cisco Firepower (включен модуль IPS).

В качестве сервера выступает NAS Synology DS718+ с версией DSM 6.2.4-25556 (это последняя версия). 

По моему мнению  модуль IPS анаоизирует трафик от агента, и коды ошибок свидетельствуют о проблеме на стороне клиента (т.е. агенте).

 

[Алексей]

Благодарим за предоставленную информацию.

Важно также отметить, что ранее мы не получали информации о срабатывании систем защиты на отправку данных агентом. Вполне возможно, что Cisco Firepower дает ложное срабатывание.

Для отправки данных на SFTP-сервер агент использует сторонний компонент libssh2, в который мы не можем вносить изменения. Если отзывы о проблеме продолжат поступать от пользователей, то мы рассмотрим возможность замены компонента.

На данный момент мы можем предложить добавить агент в исключения в системе защиты или использовать другой способ отправки данных агентом.