FortiGate 사례 연구
Sophos MDR 팀은 Fortigate가 악용을 감지한 다음 사례를 에스컬레이션했습니다.
케이스
2024년 1월 16일, MDR 팀은 XDR-fortinet-fortigate-Exploitation-for-Credential-Access
탐지 경고를 받았다. 경고 유형은 MITRE 공격 기법에서 로 매핑되었습니다 Exploitation-for-Credential-Access
. 조치 범주가 unactioned
보안 제어 경고에 의한 것임을 관찰했습니다. 조사 중에 IP에서 85[.]209[.]11[.]108
내부 IP로 25[.]523[.]15[.]215
요청을 /webtools/control/ping?USERNAME=&PASSWORD=&requirePasswordChange=Y
통해 연결 시도를 관찰했습니다. OSINT에 따르면 외부 IP 주소는 본질적으로 악의적입니다. 내부 IP는 이벤트에 대한 우리의 가시성을 제한하는 귀하의 자산에서 관리되는 호스트가 아닙니다. 이러한 결과를 바탕으로 아래 권장 사항을 참조하십시오.
권장 사항
25[.]523[.]15[.]215
가능한 경우 MDR을 사용하여 장치 IP를 보호합니다.85[.]209[.]11[.]108
네트워크 경계 방화벽에서 IP를 차단합니다.
고객은 추가 침입을 방지하기 위해 IP 주소를 차단했음을 확인했습니다.