Wir betreiben ein WLAN mit UniFi AP AC Pro. Im Zeitraum von 1 Woche wurden jeweils 2 verschiedene AP's für eine 1/2 Stunde Offline geschaltet.
Das Ereignis hat aber unser Antivirenserver geliefert & vermutlich ausgelöst.
Das Ereignis wurde wie folgt im Protokoll des Antivirenservers vermerkt: (IP-Adressen wurden von mir hier unkenntlich gemacht!)
Objekt gefunden: Intrusion.Generic.CVE-2021-44228.b
Name des Objekts: 172.30.0.XXX:46198
Protokoll: TCP
Absender: 172.30.0.XXX:46198
Empfänger: 172.30.0.YYY:8080
Der jeweilige AP ist dann auf dem Controller Offline (für eine 1/2 Stunde).
Das passiert z.B. mit Clients, die beim Ablegen von Dateien als "Verschlüsselungsversuch" erkannt werden, dann sperrt der Antivirenserver den Client.
Das Objekt kennzeichnet eine Sicherheitslücke vom einer Java Bibliothek Log4j, welche auf den Server schreiben will.
Frage nun:
Wie kann ein AP die Quelle eines Schreibversuchs sein? Der AP fungiert nur als "Switch" zwischen den Endgeräten. Der AP ist auch kein Router mit NAT-Funktion, der die hinter ihm befindlichen Clients verbirgt.
Wir sind auf der Suche nach dem realen Auslöser.
Hat jemand hierzu ähnliche Erfahrung & einen Lösungsansatz?
