跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

FortiGate案例研究

Sophos MDR小組升級了FortiGate檢測到漏洞的以下情況:

案例

2024年1月16日,MDR團隊收到 XDR-fortinet-fortigate-Exploitation-for-Credential-Access 檢測警報。警報類型在MITRE攻擊技術下映射為 Exploitation-for-Credential-Access。我們觀察到動作 種類是 unactioned 警報安全控制。在調查過程中,我們觀察到 85[.]209[.]11[.]108 25[.]523[.]15[.]215 一個請求從IP連接到內部IP的嘗試 /webtools/control/ping?USERNAME=&PASSWORD=&requirePasswordChange=Y。根據OSINT,外部IP地址本質上是惡意的。內部IP不是您資產中的託管主機,這會限制我們對事件的可見性。根據這些調查結果,請參閱以下建議。

建議操作

  • 25[.]523[.]15[.]215 如果可能,使用MDR保護設備IP。
  • 封鎖 85[.]209[.]11[.]108 網路周邊防火牆上的IP。

客戶確認已封鎖IP位址以防止進一步入侵。