Vai al contenuto
Il supporto che offriamo per MDR.

Case study per Fortigate

Il team Sophos MDR ha mandato in escalation il seguente caso, per il quale Fortigate ha rilevato un exploit:

Il caso

Il 16 gennaio 2024, il team MDR ha ricevuto un avviso relativo a un rilevamento XDR-fortinet-fortigate-Exploitation-for-Credential-Access. Il tipo di avviso era mappato sotto la tecnica MITRE ATT&CK come Exploitation-for-Credential-Access. Abbiamo osservato che la categoria di azione risultava unactioned dal controllo di sicurezza per gli avvisi. Durante le nostre indagini, abbiamo osservato un tentativo di connessione dall’IP 85[.]209[.]11[.]108 all’IP interno 25[.]523[.]15[.]215 con una richiesta /webtools/control/ping?USERNAME=&PASSWORD=&requirePasswordChange=Y. In base all’OSINT, l’indirizzo IP esterno è di natura dannosa. L’IP interno non è un host gestito nel tuo ambiente, e questo limita la nostra visibilità sugli eventi. In base a questi risultati, ti invitiamo a leggere le nostre raccomandazioni qui di seguito.

Raccomandazioni

  • Proteggi l’IP del dispositivo 25[.]523[.]15[.]215 con MDR, se possibile.
  • Blocca l’IP 85[.]209[.]11[.]108 sul tuo firewall del perimetro di rete.

Il cliente ha confermato di avere bloccato l’indirizzo IP per evitare ulteriori intrusioni.