FortiGate のケーススタディ
Sophos MDR チームは、Fortigate がエクスプロイトを検出した次のケースをエスカレーションしました。
ケース
2024年 1月 16日、MDR チームは XDR-fortinet-fortigate-Exploitation-for-Credential-Access
検出の警告を受けました。警告の種類は、MITRE ATTACK 手法の下に Exploitation-for-Credential-Access
としてマップされています。アクションカテゴリが アラートセキュリティ制御による unactioned
であることがわかりました。調査中に、IP 85[.]209[.]11[.]108
から内部 IP 25[.]523[.]15[.]215
への接続試行が /webtools/control/ping?USERNAME=&PASSWORD=&requirePasswordChange=Y
の要求で行われていることが確認されまし た。OSINT によると、外部 IP アドレスは本質的に悪意があります。内部 IP は管理サイト内の管理対象ホストではないため、イベントへの可視性が制限されます。これらの結果に基づいて、以下の推奨事項を参照してください。
推奨事項
- 可能であれば、MDR を使用してデバイス IP
25[.]523[.]15[.]215
を保護します。 - ネットワーク境界ファイアウォールの IP
85[.]209[.]11[.]108
をブロックします。
お客様は、これ以上の侵入を防ぐために IP アドレスをブロックしたことを確認しました。