Forcepoint DLP – Version 10.1 – Validation script process change

par Ollier Adrien | Fév 7, 2024 | Bon à savoir, Infos Techno

Forcepoint DLP – Version 10.1 – Validation script process change

Note : cet article ne concerne que la fonctionnalité « Script de validation » dans le cas des fingerprinting DLP.

Pour rappel, un « script de validation », au sens DLP, est un processus additionnel dans la solution Forcepoint qui permet une pré-validation des données structurées devant être Fingerprinté (Base de données, CSV).

Ce processus réalise un contrôle de la consistance des données et évite la pollution des « content filter » avec des valeurs nulles ou fausses (exemple : cellule vide, suite de 00000, mauvaise information…)

Depuis la nouvelle version du DLP Forcepoint « Version 10.1», le processus de fonctionnement des scripts de validation a été modifié pour certains des aspects du traitement de la donnée.

Ces nouvelles fonctionnalités sont décrites dans l’article suivant :

https://support.forcepoint.com/s/article/Next-Generation-Validation-Feature

Ce nouveau procédé peut modifier votre Fingerprint s’il n’est pas correctement configuré et donc impacter vos combinaisons toxiques dans les règles DLP.

Il est nécessaire d’être attentif lors de l’utilisation de ces scripts en version 10.1

Si vous avez la moindre question sur ce sujet, n’hésitez pas à contacter nos ingénieurs pour en discuter.

Forcepoint DLP Endpoint CVE-2023-2081

par Ollier Adrien | Jan 9, 2024 | Bon à savoir, Infos Techno

Forcepoint DLP Endpoint CVE-2023-2081

Nous vous faisons part d’une information de Forcepoint concernant la partie DLP et Endpoint.

Une note de sécurité a été publiée par l’éditeur concernant l’un des processus utilisés par le module DLP Endpoint Server ainsi que par les agents DLP Endpoint.

Cette vulnérabilité vient d’être publiée sous la CVE-2023-2081.

Produits concernés :

Forcepoint Data Security (DLP) : Serveur Endpoint
Forcepoint One Endpoint (F1E) : Agent DLP

Versions affectées :

DLP Core : 8.8.x, 8.9.x, 9.x, 10.0
DLP Endpoint : 22.x, 23_04, 23_07

Mesures correctives et/ou contournements :

Forcepoint Data Security (DLP) : Corrigé dans la version 10.1
Forcepoint One Endpoint (F1E) : Corrigé dans la version 23.11
Hotfix manuel

L’upgrade de l’infrastructure et de l’agent DLP est recommandé, mais un hotfix manuel est également disponible pour les versions antérieures via le support.

Nous vous recommandons de nous contacter pour discuter de la meilleure approche possible ou si vous avez la moindre question à ce sujet.

Liens :

Forcepoint DLP – Endpoint application detection on the new TEAM Apps

par Caroline Reverchon | Nov 14, 2023 | Bon à savoir, Infos Techno

Forcepoint DLP – Endpoint application detection on the new TEAM Apps

À la suite de la nouvelle version de l’application TEAMS mise en place par Microsoft ces dernières semaines, la détection DLP par application doit être modifiée dans votre configuration pour rester valable dans le cas où vous l’utiliseriez.

Exemple de la nouvelle version de TEAMS :

C:\Program Files\WindowsApps\MSTeams_23285.3604.2469.4152_x64__8wekyb3d8bbwe

Le nom de l’exécutable ayant été modifié, il est nécessaire d’ajouter un nouveau processus manuellement dans les « Endpoint Application »

Veuillez ajouter l’entrée suivante pour réactiver la protection :

« MSTEAMS_* »

Il est nécessaire de mettre ce wildcard pour que le processus DLP intercepte correctement les actions de « Copier/couper/coller » et « File Access »

Ensuite, il suffit d’ajouter ce nouvel objet dans un « Endpoint Application Group » puis, de configurer ce groupe dans chaque Policy utilisant ce chemin de fuite.

[ Vulnérabilité Apache Log4J ] Nos produits impactés

par Kündig Thomas | Déc 22, 2021 | Bon à savoir, Infos Techno

[ Vulnérabilité Apache Log4J ] Nos produits impactés

Le 9 décembre dernier, Apache a publié une vulnérabilité zero-day (CVE-2021-44228) pour Apache Log4j appelée « Log4Shell ». Cette vulnérabilité a été classée comme « Critique » avec un score CVSS de 10.0, permettant l’exécution de code à distance avec les privilèges utilisés par l’applicatif. Les équipes d’e-Xpert Solutions sont en cours d’investigation et tentent de recenser activement le statut de vulnérabilité des produits que nous vous proposons, et le cas échéant si une solution de contournement existe. Vous trouverez dans cet article une synthèse de nos produits.

Cet article n’est plus maintenu depuis le 10.01.2022

Nous avons mis à jour les tableaux avec les informations concernant les CVEs CVE-2021-45046, CVE-2021-4104, CVE-2021-45105 qui ont suivi la CVE-2021-44228 initiale.
Nous avons aussi ajouté le lien vers notre dépots git et notre vidéo explicative.

Le 9 décembre dernier, Apache a publié une vulnérabilité zero-day (CVE-2021-44228) pour Apache Log4j appelée « Log4Shell ». Cette vulnérabilité a été classée comme « Critique » avec un score CVSS de 10.0, permettant l’exécution de code à distance avec les privilèges utilisés par l’applicatif.

La librairie Log4j est une des librairies de logging standard de Java. Un grand nombre de solutions du marché sont par conséquent touchées par cette annonce. Vous trouverez une vidéo explicative sur notre chaine YouTube.

Les équipes d’e-Xpert Solutions sont en cours d’investigation et tentent de recenser activement le statut de vulnérabilité des produits que nous vous proposons, et le cas échéant si une solution de contournement existe.

Vous trouverez ci-dessous un tableau récapitulatif de l’état actuel de nos investigations.

Nous le mettrons à jour régulièrement et restons disponibles en cas de questions supplémentaires.

Actuellement activement exploitée par divers acteurs malveillants, nous vous conseillons de retirer l’accès externe aux équipements vulnérables.

Diverses possibilités de limitation des risques peuvent être mises en place. Comme l’interdiction d’accès à internet aux serveurs vulnérables ou la mise en place de politique WAF avec F5 ou R&S. Pour nos clients SOC At-Defense, plusieurs méthodes de détections sont déjà opérationnelles depuis samedi et de nouvelles sont en développement afin de pouvoir détecter et réagir au plus vite en cas de compromission.

Nos équipes du SOC ont mis à disposition leurs recherchent pour tenter de détecter des attaques, mais aussi des scripts pour linux et windows afin de déterminer si un système est vulnérable. Vous les trouverez sur notre dépots git

Etant donné que la CVE-2021-4104 ne touche que la branche 1.2 de log4j et uniquement dans une configuration spécific, aucuns de nos produits ne sont touché par cette vulnérabilité. L’éditeur Totemo étant le seul utilisant la librairie en version 1.2 à notre connaissance, il nous a confirmé ne pas être vulnérable à la CVE-2021-4104.

Editor	CVE-2021-44228	CVE-2021-45046	CVE-2021-45105
ALTIPEAK / Safewalk	Not Vulnerable	Not Vulnerable	Not Vulnerable
BACKBOX	Vulnerable Fix : 6.54.06 Link	Vulnerable Fix : 6.54.06 Link	Vulnerable Fix : 6.54.06 Link
BeyondTrust / BOMGAR	Not Vulnerable* Link	Not Vulnerable* Link	Not Vulnerable*
Broadcom / BLUECOAT	Not Vulnerable Link	Not Vulnerable Link	Not Vulnerable Link
CHECKPOINT**	Not Vulnerable Link	Not Vulnerable Link	Not Vulnerable Link
CLAVISTER	Not Vulnerable* Link	Not Vulnerable* Link	Not Vulnerable* Link
Clearswift Secure Gateway	Vulnerable Fix : v5.4.1 Link	Vulnerable Fix : v5.4.1 Link	Vulnerable Fix : v5.4.2 Link
ENTRUST	Vulnerable Fix : Refer to the link Link	Vulnerable Fix : Refer to the link Link	Vulnerable Fix : Refer to the link Link
F5**	Not Vulnerable Link	Not Vulnerable Link	Not Vulnerable Link
FORCEPOINT DLP	Vulnerable Fix : Workaround provided Link	Vulnerable Fix : Workaround provided Link	Not Vulnerable Link
FORCEPOINT NGFW	Vulnerable Fix : Workaround provided Link	Vulnerable Fix : Workaround provided Link	Not Vulnerable Link
FORCEPOINT WEB	Vulnerable Fix : Workaround provided Link	Vulnerable Fix : Workaround provided Link	Not Vulnerable Link
GUARDICORE	Vulnerable Fix : Workaround provided Link	Under investigation	Under investigation
IDNOMIC	Not Vulnerable	Not Vulnerable	Under investigation
LUMENSION IVANTI	Not Vulnerable** Link	Not Vulnerable** Link	Under investigation
McAfee ePolicy Orchestrator v5.10 CU11	Vulnerable Fix : ePO 5.10 Update 11 Hotfix 2 Link	Vulnerable Fix : ePO 5.10 Update 11 Hotfix 2 Link	Under investigation
McAfee Web Gateway 8.2.21-8.2.24 9.2.12-9.2.15 10.2.0-10.2.4 11.0.0-11.0.1	Vulnerable Fix : 8.2.25, 9.2.16 10.2.5 and 11.0.2 Link	Vulnerable Fix : 8.2.25, 9.2.16 10.2.5 and 11.0.2 Link	Vulnerable Fix : 8.2.25, 9.2.16 10.2.5 and 11.0.2 Link
McAfee ATD, Web Gateway (other versions), EPO (Other versions), Content security reporter	Not Vulnerable Link	Not Vulnerable Link	Not Vulnerable Link
PICUS	Not Vulnerable	Not Vulnerable	Under investigation
PROOFPOINT	Vulnerable Fix : 8.19.0 Link	Vulnerable Fix : 8.19.0 Link	Under investigation
QUALYS	Under investigation	Under investigation	Under investigation
Rohde Schwarz – WAF**	Vulnerable – Not exploitable Fix : Workaround provided Link	Vulnerable – Not exploitable Fix : Workaround provided Link	Vulnerable – Not exploitable Fix : Workaround provided Link
RSA SecuriID Access	Not Vulnerable Link Special remark : 8.6 Patch 1 included a third-party update which contains an embedded version of log4j (version 2.11) that is Vulnerable to this attack. However, this component does not support JNDI lookup	Not Vulnerable Link Special remark : 8.6 Patch 1 included a third-party update which contains an embedded version of log4j (version 2.11) that is Vulnerable to this attack. However, this component does not support JNDI lookup	Not Vulnerable Link Special remark : 8.6 Patch 1 included a third-party update which contains an embedded version of log4j (version 2.11) that is Vulnerable to this attack. However, this component does not support JNDI lookup
RSA SecuriID Identity Router	Vulnerable Fix : v12.12.0.0.17 Link	Vulnerable Fix : v12.12.0.0.17 Link	Vulnerable Fix : v12.12.0.0.17 Link
SPLUNK	Vulnerable with specific addon Fix : Refer to the documentation Link	Vulnerable with specific addon Fix : Refer to the documentation Link	Vulnerable with specific addon Fix : Refer to the documentation Link
TOTEMO	Not Vulnerable	Not Vulnerable	Not Vulnerable
TUFIN Classic	Vulnerable Fix : See documentation. Link	Vulnerable Fix : See documentation. Link	Vulnerable Fix : See documentation. Link
TUFIN Aurora	Vulnerable Fix : R21-2 PHF1.1 — WARNING : R21-3 PRC1.0.0, Fix should be available January the 3rd. Link	Vulnerable Fix : R21-2 PHF1.1 — WARNING : R21-3 PRC1.0.0, Fix should be available January the 3rd. Link	Vulnerable Fix : R21-2 PHF1.1 — WARNING : R21-3 PRC1.0.0, Fix should be available January the 3rd. Link
WMware Unified Access Gateway	Vulnerable Fix : UAG 2111.1 Link	Vulnerable Fix : UAG 2111.1 Link	Not vulnerable Link
VMware Workspace ONE Access Connector	Vulnerable Show link Link	Vulnerable Fix : Show link Link	Vulnerable Fix : Show link Link
VMware Workspace ONE UEM Console & Device	Not Vulnerable Link	Not Vulnerable Link	Not vulnerable Link

* Les produits que nous proposons ne sont pas vulnérables. D’autres du même éditeurs peuvent l’être.
** Les produits de ces éditeurs proposent des solutions pour aider à mitiger le risque par des signatures WAF ou IPS.

Nous restons à votre disposition. N’hésitez pas à nous contacter pour plus de renseignements.

[ Log4Shell ] At-Defense Research

par Routin David | Déc 14, 2021 | Bon à savoir, SOC, Threat research

[ Log4Shell ] At-Defense Research

Dear All,

These last days were marked by the « Most sensitive vulnerability ever published on Internet » aka Log4j. Our team of researchers and SOC analysts worked hard since friday to create detections rules and prevent exploitation for our SOC customers.

Due to the criticity of this vulnerability we decided to publish our detections tools and some of signatures to help the community facing this huge issue.

You can find them on :

https://github.com/e-XpertSolutions/atdefense-research/tree/master/log4shell

This repository contains: – Updated IOC – Threat Hunting tool developped for both Linux & Windows to identify potentially impacted servers, and compromissions For the windows version it also supports large scale deployments – IDS (Intrusion Detection System) rules fully developped by e-Xpert researchers with a new (and unseen approach). Indeed, all published rules will collect flood of external attacks (impossible to differentiate from sucess one) and so are not of great interest…

These new rules used a completely different approach relying on the detection of ingoing/outgoing external LDAP trafic used in >90% of exploitation attempts.

If you did not consider this vulnerability you should use our tools quickly.

We hope that you will enjoy, keep safe.

AT-Defense SOC Team
e-Xpert Solutions.

[ Bulletin Sécurité ] Multiples vulnérabilités Apache Log4J – DEV

par Desmarest Yann | Déc 13, 2021 | Bon à savoir, SOC, Threat research

[ Bulletin Sécurité ] Multiples vulnérabilités Apache Log4J – DEV

Le 9 décembre dernier, Apache a publié une vulnérabilité zero-day (CVE-2021-44228) pour Apache Log4j appelée « Log4Shell ». Cette vulnérabilité a été classée comme « Critique » avec un score CVSS de 10.0, permettant l’exécution de code à distance avec des privilèges au niveau du système.

Lorsqu’elle est exploitée, cette vulnérabilité permet à un attaquant d’exécuter du code arbitraire sur l’appareil, donnant un contrôle total à l’attaquant. Tout appareil exploité doit être considéré comme compromis, ainsi que tout appareil ayant fait confiance à l’appareil compromis.

Les équipes e-Xpert ont investigué les produits développées par nos soins pour identifier l’impact de cette vulnérabilité pour nos clients. Les produits et composants suivants ne sont PAS concernés par cette vulnérabilité:

Device Manager
Analytics tool for APM (Insight)
SSLCert
Esas
Account
IP Reputation

Toute l’équipe se tient à disposition pour toute demande d’information.

Update 16.12.2021 : Les produits développés par e-Xpert Solutions n’implémentent pas Java. Nos produits ne sont non plus pas impactés par les vulnérabilités CVE-2021-4104 et CVE-2021-45046