Fortigate-Fallstudien
Das Sophos MDR-Team hat den folgenden Fall eskaliert, bei dem Fortigate einen Exploit entdeckt hat:
Der Fall
Am 16. Januar 2024 erhielt das MDR-Team eine Warnmeldung zu einer XDR-fortinet-fortigate-Exploitation-for-Credential-Access
-Erkennung. Der Warnmeldungstyp wurde der MITRE-ATTACK-Technik Exploitation-for-Credential-Access
zugeordnet. Wir haben festgestellt, dass die Aktionskategorie des Warnhinweis-Sicherheitsmechanismus unactioned
lautete. Im Rahmen unserer Analyse beobachteten wir einen Verbindungsversuch von IP 85[.]209[.]11[.]108
zu interner IP 25[.]523[.]15[.]215
mit einer Anfrage /webtools/control/ping?USERNAME=&PASSWORD=&requirePasswordChange=Y
. Laut OSINT ist die externe IP-Adresse schädlich. Interne IP-Adresse ist kein verwalteter Host in Ihrer Umgebung. Dies schränkt unsere Sichtbarkeit der Ereignisse ein. Auf der Grundlage dieser Ergebnisse lesen Sie bitte unsere Empfehlungen weiter unten.
Empfehlungen
- Schützen Sie die IP-Adresse des Geräts
25[.]523[.]15[.]215
, wenn möglich, mit MDR. - Blockieren Sie die IP-Adresse
85[.]209[.]11[.]108
Ihrer Netzwerk-Perimeter-Firewall.
Der Kunde bestätigte, dass er die IP-Adresse gesperrt hat, um ein weiteres Eindringen zu verhindern.