Case study per Fortigate
Il team Sophos MDR ha mandato in escalation il seguente caso, per il quale Fortigate ha rilevato un exploit:
Il caso
Il 16 gennaio 2024, il team MDR ha ricevuto un avviso relativo a un rilevamento XDR-fortinet-fortigate-Exploitation-for-Credential-Access
. Il tipo di avviso era mappato sotto la tecnica MITRE ATT&CK come Exploitation-for-Credential-Access
. Abbiamo osservato che la categoria di azione risultava unactioned
dal controllo di sicurezza per gli avvisi. Durante le nostre indagini, abbiamo osservato un tentativo di connessione dall’IP 85[.]209[.]11[.]108
all’IP interno 25[.]523[.]15[.]215
con una richiesta /webtools/control/ping?USERNAME=&PASSWORD=&requirePasswordChange=Y
. In base all’OSINT, l’indirizzo IP esterno è di natura dannosa. L’IP interno non è un host gestito nel tuo ambiente, e questo limita la nostra visibilità sugli eventi. In base a questi risultati, ti invitiamo a leggere le nostre raccomandazioni qui di seguito.
Raccomandazioni
- Proteggi l’IP del dispositivo
25[.]523[.]15[.]215
con MDR, se possibile. - Blocca l’IP
85[.]209[.]11[.]108
sul tuo firewall del perimetro di rete.
Il cliente ha confermato di avere bloccato l’indirizzo IP per evitare ulteriori intrusioni.