Aller au contenu
Découvrez comment nous prenons en charge MDR.

Études de cas Fortigate

L'équipe Sophos MDR a signalé le cas suivant dans lequel Fortigate a détecté une faille :

Le dossier

Le 16 janvier 2024, l'équipe MDR a été alertée d'une détection XDR-fortinet-fortigate-Exploitation-for-Credential-Access. Ces alertes étaient de type « Default URL Def » mappé à la technique MITRE ATTACK en tant que Exploitation-for-Credential-Access. Nous avons observé que la catégorie d'action était unactioned par le contrôle de sécurité d'alerte. Au cours de notre investigation, nous avons observé une tentative de connexion de l’adresse IP 85[.]209[.]11[.]108 à l’adresse IP interne 25[.]523[.]15[.]215 avec une requête de type /webtools/control/ping?USERNAME=&PASSWORD=&requirePasswordChange=Y. Selon les données OSINT, l'adresse IP externe est de nature malveillante. L'adresse IP interne n'est pas un hôte géré dans votre parc informatique, ce qui limite notre visibilité des événements. Veuillez consulter nos recommandations ci-dessous, basées sur ces conclusions.

Recommandations

  • Protégez l'adresse IP de l'appareil 25[.]523[.]15[.]215 avec Sophos MDR, si possible.
  • Bloquez l'adresse IP 85[.]209[.]11[.]108 sur votre pare-feu de périmètre réseau.

Le client a confirmé qu'il avait bloqué l'adresse IP pour empêcher toute intrusion ultérieure.