Forcepoint DLP – Version 10.1 – Validation script process change

Forcepoint DLP – Version 10.1 – Validation script process change

Forcepoint DLP – Version 10.1 – Validation script process change

Note : cet article ne concerne que la fonctionnalité « Script de validation » dans le cas des fingerprinting DLP.

Pour rappel, un « script de validation », au sens DLP, est un processus additionnel dans la solution Forcepoint qui permet une pré-validation des données structurées devant être Fingerprinté (Base de données, CSV).

Ce processus réalise un contrôle de la consistance des données et évite la pollution des « content filter » avec des valeurs nulles ou fausses (exemple : cellule vide, suite de 00000, mauvaise information…)

Depuis la nouvelle version du DLP Forcepoint « Version 10.1», le processus de fonctionnement des scripts de validation a été modifié pour certains des aspects du traitement de la donnée.

Ces nouvelles fonctionnalités sont décrites dans l’article suivant :

https://support.forcepoint.com/s/article/Next-Generation-Validation-Feature

Ce nouveau procédé peut modifier votre Fingerprint s’il n’est pas correctement configuré et donc impacter vos combinaisons toxiques dans les règles DLP.

Il est nécessaire d’être attentif lors de l’utilisation de ces scripts en version 10.1

Si vous avez la moindre question sur ce sujet, n’hésitez pas à contacter nos ingénieurs pour en discuter.

Forcepoint DLP Endpoint CVE-2023-2081

Forcepoint DLP Endpoint CVE-2023-2081

Forcepoint DLP Endpoint CVE-2023-2081

Nous vous faisons part d’une information de Forcepoint concernant la partie DLP et Endpoint.

Une note de sécurité a été publiée par l’éditeur concernant l’un des processus utilisés par le module DLP Endpoint Server ainsi que par les agents DLP Endpoint.

Cette vulnérabilité vient d’être publiée sous la CVE-2023-2081.

Produits concernés :

  • Forcepoint Data Security (DLP) : Serveur Endpoint
  • Forcepoint One Endpoint (F1E) : Agent DLP

Versions affectées :

  • DLP Core : 8.8.x, 8.9.x, 9.x, 10.0
  • DLP Endpoint : 22.x, 23_04, 23_07

Mesures correctives et/ou contournements :

  • Forcepoint Data Security (DLP) : Corrigé dans la version 10.1
  • Forcepoint One Endpoint (F1E) : Corrigé dans la version 23.11
  • Hotfix manuel

L’upgrade de l’infrastructure et de l’agent DLP est recommandé, mais un hotfix manuel est également disponible pour les versions antérieures via le support.

Nous vous recommandons de nous contacter pour discuter de la meilleure approche possible ou si vous avez la moindre question à ce sujet.

Liens :

 

 

Forcepoint DLP – Version 10.1 – Validation script process change

Forcepoint DLP – Endpoint application detection on the new TEAM Apps

Forcepoint DLP – Endpoint application detection on the new TEAM Apps

À la suite de la nouvelle version de l’application TEAMS mise en place par Microsoft ces dernières semaines, la détection DLP par application doit être modifiée dans votre configuration pour rester valable dans le cas où vous l’utiliseriez.

Exemple de la nouvelle version de TEAMS :

C:\Program Files\WindowsApps\MSTeams_23285.3604.2469.4152_x64__8wekyb3d8bbwe

Le nom de l’exécutable ayant été modifié, il est nécessaire d’ajouter un nouveau processus manuellement dans les « Endpoint Application »

Veuillez ajouter l’entrée suivante pour réactiver la protection :

 « MSTEAMS_* »

 

Il est nécessaire de mettre ce wildcard pour que le processus DLP intercepte correctement les actions de « Copier/couper/coller » et « File Access »

Ensuite, il suffit d’ajouter ce nouvel objet dans un « Endpoint Application Group » puis, de configurer ce groupe dans chaque Policy utilisant ce chemin de fuite.

Release Notes – SSL Cert

Release Notes – SSL Cert

Release Notes – SSL Cert

Version : v.2.0.0

Release Date : 24.01.2022

Cette version introduit une fonctionnalité majeure et de nombreuses améliorations par rapport à celles existantes. Nous avons intégré le protocole ACME pour prendre en charge la génération et le renouvellement des certificats. Il existe de nombreuses améliorations pour la gestion des certificats ainsi que l’introduction du serveur de licences.

 

Nouvelles Fonctionnalités

ACME
Module ACME

Le plus grand changement dans cette version est l’introduction du nouveau menu : ACME. Son but est de permettre de générer, renouveler et déployer automatiquement des certificats en utilisant le protocole ACME.
Le menu principal offre une vue d’ensemble sur tous les objets ACME configurés qui incluent les informations les plus importantes, telles que l’heure et le statut de la dernière exécution, la date de création et d’expiration du certificat. Le menu déroulant permet de déclencher la génération du nouveau certificat, de le visualiser ainsi que de télécharger le certificat et la clé privée. Pour automatiser encore plus le processus, l’obtention du certificat peut être déclenchée automatiquement à un moment choisi avant la date d’expiration du certificat actuel.
Lors de la configuration d’un nouvel objet ACME, nous pouvons configurer des scripts personnalisés non seulement pour valider le défi, mais également pour déployer le certificat généré sur un serveur. La dernière étape de la configuration permet de configurer les notifications.
Les certificats générés sont automatiquement ajoutés à la vue Certificats et pour les rendre visibles, ils sont clairement marqués comme « Importés (ACME) ».

Intégration iScript

Le Playground iScript a été introduit pour aider les utilisateurs à préparer et à tester des scripts qui seront utilisés dans d’autres parties du logiciel. Actuellement, le principal cas d’utilisation d’iscript est d’activer des opérations personnalisées pour valider le défi ACME et de déployer le certificat généré.

Intégration du Vault

Vault est destiné à stocker en toute sécurité tout type de secrets. Nous avons également créé une bibliothèque iscript qui fournit un moyen sûr d’utiliser des mots de passe dans des scripts. Par exemple, lors du déploiement d’un certificat via une connexion SSH, on peut utiliser un mot de passe stocké dans le coffre-fort au lieu de l’écrire dans le script en utilisant du texte brut.

Serveur de licence

Le serveur de licences a été intégré, ce qui signifie qu’à partir de maintenant, certaines fonctionnalités avancées ne seront disponibles que pour les utilisateurs disposant d’une licence valide. Toutes les fonctionnalités précédentes restent gratuites et la première fonctionnalité sous licence est le nouveau module ACME.

Améliorations

Historique des certificats

Chaque fois que le certificat est mis à jour, sa version précédente est enregistrée et peut être affichée dans un nouvel onglet de la vue Certificat. La vue détaillée de la nouvelle version peut être inspectée dans un tableau où elle est comparée à la précédente. Tous les changements sont mis en surbrillance pour faciliter l’identification des différences.

Notifications

En plus d’informer les utilisateurs des certificats qui sont sur le point d’expirer, il est désormais également possible de configurer des notifications pour les modifications et les problèmes de certificat. En plus de cela, toute la chaîne de certificats est analysée pour détecter également l’expiration des certificats intermédiaires.

Correctifs

  • Les certificats dans PEM n’étaient pas visibles en raison d’une mauvaise fonction utilisée pour l’appel API
  • Paramètres/Exportation planifiée – un texte incorrect s’affichait dans l’info-bulle du bouton (+)
  • Le bouton « My Accounts » redirigeait vers des comptes internes au lieu d’un compte public.
Release Notes – Device Manager

Release Notes – Device Manager

Release Notes – Device Manager

Version : v.2.2.0

Release Date : 31.01.2022

Dans cette version, nous introduisons de nouvelles fonctionnalités telles que la gestion des QKViews et des data groups, ainsi que des améliorations sur les iRules. Le menu des devices a été peaufiné visuellement et nous avons amélioré les performances des menus « Local Traffic » et « Where Used ».

 

Nouvelles Fonctionnalités

QKViews

Les QKViews sont nécessaires lorsqu’il s’agit de résoudre un problème d’un device F5. C’est pourquoi, ils peuvent maintenant être facilement générés directement à partir de la vue « Devices ». Après avoir déclenché la création du qkview, il apparaîtra dans un tableau avec le statut, la taille et la date de création. Selon la taille, le processus de génération peut prendre quelques minutes. Lorsque l’état passe à « Success », il est possible de télécharger le fichier qkview.
En arrière-plan, le fichier est d’abord créé sur un device F5, puis téléchargé sur le stockage local du « Device Manager » et enfin supprimé du device F5.

Data groups

Les data groups sont situés dans le menu « Local Traffic » dans un nouvel onglet. À partir de cet onglet, nous pouvons facilement afficher et gérer les data groups. Pour l’instant, seuls les data groups « internes » sont pris en charge.
Comme les autres objets Local Traffic, ils sont organisés dans un tableau qui permet la recherche et le filtrage. Il est possible d’ajouter un nouvel objet data group ainsi que d’afficher, de modifier et de supprimer ceux qui existent déjà.

iRules

La vue iRules a été améliorée en permettant plus d’opérations sur les iRules existantes et la possibilité d’en créer de nouvelles. Désormais, vous pouvez également les modifier ou les supprimer facilement.
L’historique des modifications est conservé et, si nécessaire, l’iRule peut être restaurée à l’une des versions précédentes. Pour que tout reste propre et net, les anciennes versions qui ne sont plus nécessaires peuvent être supprimées. Il est important de noter que tous les changements qui se produisent à partir du Device Manager sont toujours conservés, mais cela n’est pas garanti avec des changements provenant d’ailleurs. Les iRules sont récupérées périodiquement et si plusieurs éditions se produisent entre cette période, seule la dernière sera visible dans l’historique.
La dernière amélioration sur les iRules est la prise en charge des tags dans l’action « Send to… » pour permettre l’envoi de l’iRule dans un ensemble de device F5.

Améliorations

Devices

Le menu « Devices » a reçu quelques améliorations :

  • Les alertes de sécurité peuvent être triées et filtrées,
  • La date dans la cellule « Backed up » est bien formatée,
  • Le petit bug qui provoquait l’affichage d’un statut erroné du device est maintenant corrigé.

Tâches

Lorsqu’un iscript est exécuté à partir d’une tâche, ses journaux sont désormais imprimés à la fois dans les logs d’exécution des tâches et dans les logs des applications. Avant, ils n’étaient imprimés que dans les logs applicatifs. Grâce à ce changement, il est maintenant plus facile de trouver le problème en cas d’échec de l’iscript.

Performance

Nous avons remarqué que pour de nombreux devices avec un grand nombre d’objets LTM, le menu Local Traffic peut devenir lent. Pour améliorer l’expérience utilisateur et économiser certaines ressources, nous avons amélioré la pagination et cessé de charger les données qui ne sont pas directement visibles dans les tableaux. Seule la visualisation des détails d’objets spécifiques récupère des informations complètes – par exemple, seule une liste d’iRules contenant des noms, des noms de devices et des partitions est récupérée et après avoir cliqué sur « afficher » ou « modifier », son code et son historique sont récupérés.
Une autre amélioration des performances se trouve dans le menu « Where Used ». Ici, les requêtes sont déclenchées de manière asynchrone pour chaque appareil. Pour éviter de surcharger à la fois le côté serveur de l’application et un navigateur, en déclenchant trop de requêtes à la fois, elles sont mises en file d’attente et seules quelques-unes d’entre elles peuvent s’exécuter simultanément.

 

Correctifs

  • Dans le menu « Where used » les résultats sont parfois erronés
  • Les politiques ASM étaient parfois écrasées, ce qui faisait que seules celles du dernier device étaient visibles
  • Problème de navigation dans les onglets pour les utilisateurs sans autorisations complètes.
[ Vulnérabilité Apache Log4J ] Nos produits impactés

[ Vulnerability Apache Log4J ] Our affected products

[ Vulnerability Apache Log4J ] Our affected products

Le 9 décembre dernier, Apache a publié une vulnérabilité zero-day (CVE-2021-44228) pour Apache Log4j appelée « Log4Shell ». Cette vulnérabilité a été classée comme « Critique » avec un score CVSS de 10.0, permettant l’exécution de code à distance avec les privilèges utilisés par l’applicatif. Les équipes d’e-Xpert Solutions sont en cours d’investigation et tentent de recenser activement le statut de vulnérabilité des produits que nous vous proposons, et le cas échéant si une solution de contournement existe. Vous trouverez dans cet article une synthèse de nos produits.

Cet article n’est plus maintenu depuis le 10.01.2022

Nous avons mis à jour les tableaux avec les informations concernant les CVEs  CVE-2021-45046, CVE-2021-4104, CVE-2021-45105 qui ont suivi la CVE-2021-44228 initiale.
Nous avons aussi ajouté le lien vers notre dépots git et notre vidéo explicative.

Le 9 décembre dernier, Apache a publié une vulnérabilité zero-day (CVE-2021-44228) pour Apache Log4j appelée « Log4Shell ». Cette vulnérabilité a été classée comme « Critique » avec un score CVSS de 10.0, permettant l’exécution de code à distance avec les privilèges utilisés par l’applicatif.

La librairie Log4j est une des librairies de logging standard de Java. Un grand nombre de solutions du marché sont par conséquent touchées par cette annonce. Vous trouverez une vidéo explicative sur notre chaine YouTube.

Les équipes d’e-Xpert Solutions sont en cours d’investigation et tentent de recenser activement le statut de vulnérabilité des produits que nous vous proposons, et le cas échéant si une solution de contournement existe.

Vous trouverez ci-dessous un tableau récapitulatif de l’état actuel de nos investigations.

Nous le mettrons à jour régulièrement et restons disponibles en cas de questions supplémentaires.

Actuellement activement exploitée par divers acteurs malveillants, nous vous conseillons de retirer l’accès externe aux équipements vulnérables.

Diverses possibilités de limitation des risques peuvent être mises en place. Comme l’interdiction d’accès à internet aux serveurs vulnérables ou la mise en place de politique WAF avec F5 ou R&S. Pour nos clients SOC At-Defense, plusieurs méthodes de détections sont déjà opérationnelles depuis samedi et de nouvelles sont en développement afin de pouvoir détecter et réagir au plus vite en cas de compromission.

Nos équipes du SOC ont mis à disposition leurs recherchent pour tenter de détecter des attaques, mais aussi des scripts pour linux et windows afin de déterminer si un système est vulnérable. Vous les trouverez sur notre dépots git

Etant donné que la CVE-2021-4104 ne touche que la branche 1.2 de log4j et uniquement dans une configuration spécific, aucuns de nos produits ne sont touché par cette vulnérabilité. L’éditeur Totemo étant le seul utilisant la librairie en version 1.2 à notre connaissance, il nous a confirmé ne pas être vulnérable à la CVE-2021-4104.

 

Editor

CVE-2021-44228

CVE-2021-45046

CVE-2021-45105

ALTIPEAK / Safewalk
Not Vulnerable Not Vulnerable Not Vulnerable
BACKBOX
Vulnerable
Fix : 6.54.06
Link
Vulnerable
Fix : 6.54.06
Link
Vulnerable
Fix : 6.54.06
Link
BeyondTrust / BOMGAR
Not Vulnerable*
Link
Not Vulnerable*
Link
Not Vulnerable*
Broadcom / BLUECOAT
Not Vulnerable
Link
Not Vulnerable
Link
Not Vulnerable
Link
CHECKPOINT**
Not Vulnerable
Link
Not Vulnerable
Link
Not Vulnerable
Link
CLAVISTER
Not Vulnerable*
Link
Not Vulnerable*
Link
Not Vulnerable*
Link
Clearswift Secure Gateway
Vulnerable
Fix : v5.4.1
Link
Vulnerable
Fix : v5.4.1
Link
Vulnerable
Fix : v5.4.2
Link
ENTRUST
Vulnerable
Fix : Refer to the link
Link
Vulnerable
Fix : Refer to the link
Link
Vulnerable
Fix : Refer to the link
Link
F5**
Not Vulnerable
Link
Not Vulnerable
Link
Not Vulnerable
Link
FORCEPOINT DLP
Vulnerable
Fix : Workaround provided
Link
Vulnerable
Fix : Workaround provided
Link
Not Vulnerable
Link
FORCEPOINT NGFW
Vulnerable
Fix : Workaround provided
Link
Vulnerable
Fix : Workaround provided
Link
Not Vulnerable
Link
FORCEPOINT WEB
Vulnerable
Fix : Workaround provided
Link
Vulnerable
Fix : Workaround provided
Link
Not Vulnerable
Link
GUARDICORE
Vulnerable
Fix : Workaround provided
Link
Under investigation Under investigation
IDNOMIC
Not Vulnerable Not Vulnerable Under investigation
LUMENSION IVANTI
Not Vulnerable**
Link
Not Vulnerable**
Link
Under investigation
McAfee ePolicy Orchestrator v5.10 CU11
Vulnerable
Fix : ePO 5.10 Update 11 Hotfix 2
Link
Vulnerable
Fix : ePO 5.10 Update 11 Hotfix 2
Link
Under investigation
McAfee Web Gateway
8.2.21-8.2.24
9.2.12-9.2.15
10.2.0-10.2.4
11.0.0-11.0.1
Vulnerable
Fix : 8.2.25, 9.2.16 10.2.5 and 11.0.2
Link
Vulnerable
Fix : 8.2.25, 9.2.16 10.2.5 and 11.0.2
Link
Vulnerable
Fix : 8.2.25, 9.2.16 10.2.5 and 11.0.2
Link
McAfee ATD, Web Gateway (other versions), EPO (Other versions), Content security reporter
Not Vulnerable
Link
Not Vulnerable
Link
Not Vulnerable
Link
PICUS
Not Vulnerable Not Vulnerable Under investigation
PROOFPOINT
Vulnerable
Fix : 8.19.0
Link
Vulnerable
Fix : 8.19.0
Link
Under investigation
QUALYS
Under investigation Under investigation Under investigation
Rohde Schwarz – WAF**
Vulnerable – Not exploitable
Fix : Workaround provided
Link
Vulnerable – Not exploitable
Fix : Workaround provided
Link
Vulnerable – Not exploitable
Fix : Workaround provided
Link
RSA SecuriID Access
Not Vulnerable
Link
Special remark : 8.6 Patch 1 included a third-party update which contains an embedded version of log4j (version 2.11) that is Vulnerable to this attack. However, this component does not support JNDI lookup
Not Vulnerable
Link
Special remark : 8.6 Patch 1 included a third-party update which contains an embedded version of log4j (version 2.11) that is Vulnerable to this attack. However, this component does not support JNDI lookup
Not Vulnerable
Link
Special remark : 8.6 Patch 1 included a third-party update which contains an embedded version of log4j (version 2.11) that is Vulnerable to this attack. However, this component does not support JNDI lookup
RSA SecuriID Identity Router
Vulnerable
Fix : v12.12.0.0.17 Link
Vulnerable
Fix : v12.12.0.0.17 Link
Vulnerable
Fix : v12.12.0.0.17 Link
SPLUNK
Vulnerable with specific addon
Fix : Refer to the documentation
Link
Vulnerable with specific addon
Fix : Refer to the documentation
Link
Vulnerable with specific addon
Fix : Refer to the documentation
Link
TOTEMO
Not Vulnerable Not Vulnerable Not Vulnerable
TUFIN Classic
Vulnerable
Fix : See documentation.
Link
Vulnerable
Fix : See documentation.
Link
Vulnerable
Fix : See documentation.
Link
TUFIN Aurora
Vulnerable
Fix : R21-2 PHF1.1 — WARNING : R21-3 PRC1.0.0, Fix should be available January the 3rd.
Link
Vulnerable
Fix : R21-2 PHF1.1 — WARNING : R21-3 PRC1.0.0, Fix should be available January the 3rd.
Link
Vulnerable
Fix : R21-2 PHF1.1 — WARNING : R21-3 PRC1.0.0, Fix should be available January the 3rd.
Link
WMware Unified Access Gateway
Vulnerable
Fix : UAG 2111.1 Link
Vulnerable
Fix : UAG 2111.1 Link
Not vulnerable
Link
VMware Workspace ONE Access Connector
Vulnerable
Show link
Link
Vulnerable
Fix : Show link
Link
Vulnerable
Fix : Show link
Link
VMware Workspace ONE UEM Console & Device
Not Vulnerable
Link
Not Vulnerable
Link
Not vulnerable
Link

 

* Les produits que nous proposons ne sont pas vulnérables. D’autres du même éditeurs peuvent l’être.
** Les produits de ces éditeurs proposent des solutions pour aider à mitiger le risque par des signatures WAF ou IPS.

Nous restons à votre disposition. N’hésitez pas à nous contacter pour plus de renseignements.

en_GB