Estudios de casos de Fortigate
El equipo de Sophos MDR derivó el siguiente caso en el que Fortigate detectó un exploit:
El caso
El 16 de enero de 2024, el equipo de MDR fue alertado de una detección XDR-fortinet-fortigate-Exploitation-for-Credential-Access
. El tipo de alerta fue agrupado bajo la técnica MITRE ATTACK como Exploitation-for-Credential-Access
. Observamos que la categoría de acción era unactioned
según el control de seguridad de alertas. Durante nuestra investigación, observamos un intento de conexión de la IP 85[.]209[.]11[.]108
a la IP interna 25[.]523[.]15[.]215
con una solicitud /webtools/control/ping?USERNAME=&PASSWORD=&requirePasswordChange=Y
. Según OSINT, la dirección IP externa es de naturaleza maliciosa. La IP interna no es un host administrado en su entorno, lo que limita nuestra visibilidad de los eventos. Sobre la base de estos hallazgos, consulte nuestras recomendaciones a continuación.
Recomendaciones
- Proteja la IP del dispositivo
25[.]523[.]15[.]215
con MDR, si es posible. - Bloquee la IP
85[.]209[.]11[.]108
en su firewall perimetral de red.
El cliente confirmó que bloqueó la dirección IP para evitar más intrusiones.