Études de cas Fortigate
L'équipe Sophos MDR a signalé le cas suivant dans lequel Fortigate a détecté une faille :
Le dossier
Le 16 janvier 2024, l'équipe MDR a été alertée d'une détection XDR-fortinet-fortigate-Exploitation-for-Credential-Access
. Ces alertes étaient de type « Default URL Def » mappé à la technique MITRE ATTACK en tant que Exploitation-for-Credential-Access
. Nous avons observé que la catégorie d'action était unactioned
par le contrôle de sécurité d'alerte. Au cours de notre investigation, nous avons observé une tentative de connexion de l’adresse IP 85[.]209[.]11[.]108
à l’adresse IP interne 25[.]523[.]15[.]215
avec une requête de type /webtools/control/ping?USERNAME=&PASSWORD=&requirePasswordChange=Y
. Selon les données OSINT, l'adresse IP externe est de nature malveillante. L'adresse IP interne n'est pas un hôte géré dans votre parc informatique, ce qui limite notre visibilité des événements. Veuillez consulter nos recommandations ci-dessous, basées sur ces conclusions.
Recommandations
- Protégez l'adresse IP de l'appareil
25[.]523[.]15[.]215
avec Sophos MDR, si possible. - Bloquez l'adresse IP
85[.]209[.]11[.]108
sur votre pare-feu de périmètre réseau.
Le client a confirmé qu'il avait bloqué l'adresse IP pour empêcher toute intrusion ultérieure.