Tag Archives: Gateway Antivirus

Exchange Server Hafnium Exploit

5 Comments

Unternehmen stellen häufig Exchange Dienste wie ActiveSync (Abruf der Mails per Mail-App auf dem Handy), OWA (Outlook Web Access – Zugriff auf Outlook über eine Webschnittstelle) und damit meist auch unwissentlich ECP (Exchange Admin-Konsole) für den Zugriff aus dem Internet für Ihre Mitarbeiter zur Verfügung. Diese Dienste werden aktuell missbraucht. Der Zugriff geschieht dabei von extern über das Internet-Protokoll https auf Port 443.
Dieser Artikel bietet einen Einstieg in die Thematik, listet weitere Quellen und zeigt die Möglichkeiten, die Sie zum Schutz Ihrer Systeme mithilfe der Security Services einer WatchGuard Firewall zur Verfügung haben.

Weiterlesen »

Gateway AntiVirus ab 2020 nicht mehr für Fireware 12.1 oder niedriger

Comment

Wir möchten nochmals daran erinnern, dass ein Upgrade der Fireware Version auf mindestens v12.1.1 zwingend erforderlich ist, um den Security Service Gateway AntiVirus ab 2020 weiterhin nutzen zu können.

Firebox Gateway AntiVirus (GAV) wird ab dem 01.01.2020 nicht länger von Fireware Versionen bis v12.1 unterstützt (keine Signatur-Updates mehr). Fireware Versionen ab v12.1.1 oder höher sind nicht betroffen.

Um Gateway AntiVirus weiterhin nutzen zu können müssen Sie ihre Firebox mindestens auf die Fireware Version v12.1.1 upgraden.  Wir empfehlen jedoch gleich ein Upgrade auf die neueste Fireware-Version v12.5.1.

Weiterlesen »

Crash des scand – SMTP-Proxy blockiert alle E-Mails- 12.2.1

Comment

Symptom:

SMPT-SMTP-Proxy reicht keine E-Mails mehr durch.

Workaround:

Reboot der Box, bzw. Failover im Cluster

Ursache:

Unter bestimmten Umständen kann bei Fireware 12.2.1 ein Crash des Antivirus-Daemons scand auftreten (Es scheint bei bestimmten PDF-Files zu passieren).

In diesen Fällen kann es (in Abhängigkeit der GAV-Konfiguration) dazu führen, daß gar keine E-Mails mehr durchgelassen werden.

Ein Reboot der Box startet den Daemon neu, und das Problem ist (erstmal) behoben. Ein Failover auf den anderen Cluster-Member führt zum gleichen Ergebnis, vorausgesetzt, daß dort der Daemon (noch) läuft. Vor einem mehrfachen Failover sollte dann natürlich die passive Box vorher gebootet worden sein.

Abhilfe:

Abhilfe bringt ein Update auf die Fireware Version 12.3.1, die einen Fix der libsavi.so enthält.

Erinnerung: Update auf 12.x notwendig bis spätestens 15.4.

Comment

Wir möchten nochmals dringend darauf hinweisen, dass der Support der AV-Signaturen für die Virenscanner-Engine von AVG zum 15.4.2018 abläuft. Ab diesem Zeitpunkt wird es für den Gateway-Antivirus mit AVG Engine keine neuen Pattern Files mehr geben (der Virenscanner wird zwar weiter laufen, aber dann eben ohne aktuelle Pattern Files). Daher empfehlen wir, bis zum 15.4. auf eine Version 12.x upzudaten.  WatchGuard hat mit Version 12.x den Hersteller für den Gateway Antivirus (hin zu Bitdefender) gewechselt.

Siehe hier zu auch unseren Blog-Artikel Virenscanner gewechselt und den Blog-Artikel AVG Pattern bis April 2018 verfügbar.

Bisher sind uns für 12.1.1 keine negativen Feedbacks zugetragen worden, die Version lief auch auf unserem Testgerät seit der Beta3 (seit ca. 4-5 Wochen) stabil.

Fireware 12.0 – Virenscanner gewechselt: AVG => Bitdefender – AVG Pattern Updates noch bis 15. April 2018

Comment

WatchGuard hat den Wechsel der Virenscanner-Engine von AVG nach Bitdefender mit der Version Fireware 12.0 vollzogen. (siehe auch Software-Release: Watchguard Fireware 12.0 erschienen).

Der derzeit (Stand 17.10.2017) angekündigte Endzeitpunkt für Patternupdates für die (alte) AVG Antiviren-Engine ist nun der 15. April 2018.

WatchGuard empfiehlt allen Kunden,, vor dem 15. April 2018 auf die aktuelle Version zu wechseln.

(Hinweis: die Version 12.0 ist seit gut 4 Wochen erhältlich, die Version 12.0.1 wird am 30.10.2017 erscheinen).

Fireware 12.0 kommt mit neuer Gateway AntiVirus-Engine

2 Comments

Neue Gateway AntiVirus Engine von BitDefender

WatchGuard hat turnusmäßig seine Antimalware- und Gateway AntiVirus-Technologie (bislang vom Hersteller AVG) einem umfassenden Check unterzogen, um sicherzustellen, dass den Kunden weiterhin die bestmögliche Lösung geboten wird. Die Ergebnisse haben WatchGuard dazu veranlasst, den Technologiepartner hinter dem Gateway AntiVirus Service zu wechseln. Die neue Engine wird von BitDefender bereitgestellt.

Die Änderung tritt mit der Fireware-Betriebssystemversion 12.0 in Kraft, die erstmals ab September 2017 bereitgestellt werden soll. Die Versionen Fireware 11.x verwenden nach wie vor die AVG Engine und die AVG Signaturen. Der Update-Service für die AVG Signaturen wird aber zum 15.01.2018 eingestellt, so dass der GAV-Service dann deutlich eingeschränkt wäre. Es ist also anzuraten, vor dem 15.01.2018 von Fireware 11.x auf eine neuere Version von Fireware 12.x zu wechseln. Alle derzeit unterstützten XTM- und Firebox Appliances können auf Version 12.0 umgestellt werden – mit Ausnahme der Modelle XTM 505, XTM 510, XTM 520 und XTM 530, die ohnehin am 3. Dezember 2017 auslaufen.

Gründe für die Auswahl von BitDefender waren unter anderem:

  • Bessere Erkennungsleistung über das gesamte Portfolio. Als Pionier auf dem Gebiet des maschinellen Lernens zur Erkennung von Schadsoftware erreicht BitDefender in unabhängigen Tests unbestritten Platz eins im Hinblick auf Bedrohungserkennung, Reduzierung von False-Positives und hoher Systemleistung.
  • Schnellere Reaktion bei auftretenden Bedrohungen. BitDefender führt Signaturaktualisierungen in sehr kurzen Abständen durch. Auf diese Weise sind Kunden so früh wie möglich gegenüber neuen Bedrohungen geschützt.
  • Höhere Performance durch optimiertes Scannen von .exe-, Microsoft Office- und PDF-Dateien.

Wichtig zu wissen:

  • Beim Wechsel auf Fireware 12.0 erfolgt die Umstellung auf die neue Gateway Antivirus Lösung automatisch.
  • Kunden, die dennoch auf einer Fireware 11.x-Version bleiben, erhalten ab 15.01.2018 keine Aktualisierungen für den Gateway AntiVirus Service mehr.

GAV Probleme beim Update der Virenscanner-Patterns auf XTM2-Series

1 Comment

Manchmal kommt es vor, dass keine aktuellen Gateway Antivirus Pattern heruntergeladen werden können. Siehe hierzu auch unseren Blog-Artikel “Crash Report kann AV-Update verhindern”.

Neben diesen “Crash Reports” kann es – je nach Größe des vorhandenen Flash-Speichers in einer WatchGuard XTM/Firebox (vom Modell vorgegeben) – auch zu Problemen mit der Aktualisierung der Antivirus-Pattern kommen, wenn auf der Firebox die Firmware-Images von WatchGuard Access Points gespeichert sind/werden. Dies ist bei älteren Softwareversionen auch standardmäßig der Fall, selbst wenn beim Kunden überhaupt keine WatchGuard Access Points im Einsatz sind. Bekannt ist derzeit ist ein Fall auf der XTM2-Serie (XTM25, XTM25-W, XTM26, XTM26-W), bei dem diese AP Firmware-Images nötigen Speicherplatz blockiert haben, so dass die AV-Updates nicht heruntergeladen bzw. gespeichert werden können. Abhilfe schafft hier das manuelle Löschen der AP Firmware-Images von der XTM/Firebox. Ab der Softwareversion Fireware 11.12.4 sind die AP Firmware-Images auch gar nicht mehr im eigentlichen Firebox-Betriebssystem enthalten und müss(t)en ohnehin einzeln auf die Firebox heruntergeladen werden.

Trifft dieses Szenario zu, sieht die Fehlermeldung bei einem GAV-Update wie folgt aus:

2017-04-14 11:04:12 sigd Manual GAV update is currently running Debug 
2017-04-14 11:04:18 sigd Decompression failed for '/sigs//tmp/incavi.avm' Debug 
2017-04-14 11:04:18 sigd Curl returned error: Failed writing body (4294967295 != 16384) Debug 
2017-04-14 11:04:18 sigd unable to download files for GAV Debug

Web-UI:

  1. Ggfs. Einschalten des Gateway Wireless Controller unter Network => Gateway Wireless Controller => [x] enable the Gateway Wireless Controller (danach muss eine Passphrase vergeben werden)
  2. Danach unter Dashboard > Gateway Wireless Controller (der Punkt existiert sonst nämlich nicht) unter Manage Firmware => Remove all Firmware
  3. Ggfs. Ausschalten des Gateway Wireless Controller unter Network => Gateway Wireless Controller => [_] enable the Gateway Wireless Controller

WatchGuard System Manager

  1. Im Policy Manager nötigenfalls den Gateway Wireless Controller aktivieren: Network => Gateway Wireless Controller => [x] enable the Gateway Wireless Controller
  2. Save to Firebox
  3. Firebox System Manager starten
  4. Im Tab Gateway Wireless Controller => Manage Firmware => Remove all Firmware
  5. Nötigenfalls den Gateway Wireless Controller wieder abschalten: Network => Gateway Wireless Controller => [_] enable the Gateway Wireless Controller

Crash Report kann Antivirus-Pattern-Update verhindern

1 Comment

Kürzlich bei einer Box aufgetreten: Antivirus-Pattern-Update konnte das Signature-File nicht mehr herunterladen.  Im Firebox System Manager unter Subscription Services wurde beim manuellen Update folgende Fehlermeldung erzeugt:

The signature update failed: An error occured when downloading the signature file (9)

Im Traffic Monitor war folgende Fehlermeldung zu sehen:

sigd Manual GAV update started
sigd Manual GAV update for version (13101) failed (Failed to download signature file from server)

Die Lösung war, alle Crash Reports zu löschen. (Firebox System Manager => Status Report Tab => Support => Delete all crash reports).

Auszug aus dem WatchGuard Support Case:

unfortunately when crash report is listed, this create a condition to not download signature update.
Seems there is a problem to decompress some internal file in the kernel and this need the deletion of crash.
Once you delete them, Firewall is able to download and update itself.

Bei der betroffenen Box wurden die Crash Reports gelöscht und danach funktionierte das manuelle Update auf anhieb, ein Reboot der Box war nicht notwendig.

 

Update 2017-06-27: Siehe hierzu auch unseren Artikel GAV Update Probleme bei Update des Patterns auf XTM2-Series.