Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Fortigate-Fallstudien

Das Sophos MDR-Team hat den folgenden Fall eskaliert, bei dem Fortigate einen Exploit entdeckt hat:

Der Fall

Am 16. Januar 2024 erhielt das MDR-Team eine Warnmeldung zu einer XDR-fortinet-fortigate-Exploitation-for-Credential-Access-Erkennung. Der Warnmeldungstyp wurde der MITRE-ATTACK-Technik Exploitation-for-Credential-Access zugeordnet. Wir haben festgestellt, dass die Aktionskategorie des Warnhinweis-Sicherheitsmechanismus unactioned lautete. Im Rahmen unserer Analyse beobachteten wir einen Verbindungsversuch von IP 85[.]209[.]11[.]108 zu interner IP 25[.]523[.]15[.]215 mit einer Anfrage /webtools/control/ping?USERNAME=&PASSWORD=&requirePasswordChange=Y. Laut OSINT ist die externe IP-Adresse schädlich. Interne IP-Adresse ist kein verwalteter Host in Ihrer Umgebung. Dies schränkt unsere Sichtbarkeit der Ereignisse ein. Auf der Grundlage dieser Ergebnisse lesen Sie bitte unsere Empfehlungen weiter unten.

Empfehlungen

  • Schützen Sie die IP-Adresse des Geräts 25[.]523[.]15[.]215, wenn möglich, mit MDR.
  • Blockieren Sie die IP-Adresse 85[.]209[.]11[.]108 Ihrer Netzwerk-Perimeter-Firewall.

Der Kunde bestätigte, dass er die IP-Adresse gesperrt hat, um ein weiteres Eindringen zu verhindern.