Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Estudos de caso do Fortigate

A equipe do Sophos MDR encaminhou o seguinte caso em que a Fortigate detectou uma exploração:

O caso

Em 16 de janeiro de 2024, a equipe MDR foi alertada sobre uma detecção XDR-fortinet-fortigate-Exploitation-for-Credential-Access. O tipo de alerta estava mapeado sob a técnica MITRE ATTACK como Exploitation-for-Credential-Access. Observamos que a categoria de ação foi unactioned pelo controle de segurança de alerta. Durante nossa investigação, observamos uma tentativa de conexão do IP 85[.]209[.]11[.]108 para ao IP interno 25[.]523[.]15[.]215 com uma solicitação /webtools/control/ping?USERNAME=&PASSWORD=&requirePasswordChange=Y. De acordo com o OSINT, o endereço IP externo é de natureza maliciosa. O IP interno não é um host gerenciado em seu patrimônio digital, o que limita nossa visibilidade dos eventos. Com base nessas descobertas, veja nossas recomendações abaixo.

Recomendações

  • Proteja o IP 25[.]523[.]15[.]215 do dispositivo com MDR, se possível.
  • Bloqueie o IP 85[.]209[.]11[.]108 no firewall de perímetro da sua rede.

O cliente confirmou que bloqueou o endereço IP para evitar maior intrusão.