Estudos de caso do Fortigate
A equipe do Sophos MDR encaminhou o seguinte caso em que a Fortigate detectou uma exploração:
O caso
Em 16 de janeiro de 2024, a equipe MDR foi alertada sobre uma detecção XDR-fortinet-fortigate-Exploitation-for-Credential-Access
. O tipo de alerta estava mapeado sob a técnica MITRE ATTACK como Exploitation-for-Credential-Access
. Observamos que a categoria de ação foi unactioned
pelo controle de segurança de alerta. Durante nossa investigação, observamos uma tentativa de conexão do IP 85[.]209[.]11[.]108
para ao IP interno 25[.]523[.]15[.]215
com uma solicitação /webtools/control/ping?USERNAME=&PASSWORD=&requirePasswordChange=Y
. De acordo com o OSINT, o endereço IP externo é de natureza maliciosa. O IP interno não é um host gerenciado em seu patrimônio digital, o que limita nossa visibilidade dos eventos. Com base nessas descobertas, veja nossas recomendações abaixo.
Recomendações
- Proteja o IP
25[.]523[.]15[.]215
do dispositivo com MDR, se possível. - Bloqueie o IP
85[.]209[.]11[.]108
no firewall de perímetro da sua rede.
O cliente confirmou que bloqueou o endereço IP para evitar maior intrusão.