Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Estudios de casos de Fortigate

El equipo de Sophos MDR derivó el siguiente caso en el que Fortigate detectó un exploit:

El caso

El 16 de enero de 2024, el equipo de MDR fue alertado de una detección XDR-fortinet-fortigate-Exploitation-for-Credential-Access. El tipo de alerta fue agrupado bajo la técnica MITRE ATTACK como Exploitation-for-Credential-Access. Observamos que la categoría de acción era unactioned según el control de seguridad de alertas. Durante nuestra investigación, observamos un intento de conexión de la IP 85[.]209[.]11[.]108 a la IP interna 25[.]523[.]15[.]215 con una solicitud /webtools/control/ping?USERNAME=&PASSWORD=&requirePasswordChange=Y. Según OSINT, la dirección IP externa es de naturaleza maliciosa. La IP interna no es un host administrado en su entorno, lo que limita nuestra visibilidad de los eventos. Sobre la base de estos hallazgos, consulte nuestras recomendaciones a continuación.

Recomendaciones

  • Proteja la IP del dispositivo 25[.]523[.]15[.]215 con MDR, si es posible.
  • Bloquee la IP 85[.]209[.]11[.]108 en su firewall perimetral de red.

El cliente confirmó que bloqueó la dirección IP para evitar más intrusiones.