De esas cosas raras que pasan a veces, 9 clusters todos con la misma actualización de firmas del IPS. Y empieza a quejarse uno de los clusters (o mas bien la gente que hay detrás de ese cluster, todos haciendo el Enjuto Mojamuto).
Y resulta que el firewall estaba parando el trafico DNS diciendo que era «Adobe Acrobat and Reader Use After Free (APSB19-18, CVE-2019-7806)
No he conseguido encontrar mucha mas información, pero siempre te queda la misma sensación.
https://www.checkpoint.com/defense/advisories/public/2019/cpai-2019-0664.html
¿Si todos los clusters están igual, porque no falla en todos?
También me parece algo raro que ese bug haga match en conexiones al 53 udp.
En fin, añadí una exclusión que quitare dentro de unos días a ver si lo han arreglado.
** Actualización **
No solo no he podido quitarlo … he tenido que añadir otro mas.
Unos días después empezó a quejarse de CVE-2019-7773 (otro servidor) y mas raro aun … unos días después, las cosas se cambiaron de lado.
Es decir … primero se quejaba el DNS1 del 7806, días después empezó a quejarse el DNS2 del 7773, y unos días después el 1 del 7773. Para alucinar. Por supuesto, comprobamos las versiones del Acrobat y estaban parcheadas … así que …