FortiGate案例研究
Sophos MDR小組升級了FortiGate檢測到漏洞的以下情況:
案例
2024年1月16日,MDR團隊收到 XDR-fortinet-fortigate-Exploitation-for-Credential-Access
檢測警報。警報類型在MITRE攻擊技術下映射為 Exploitation-for-Credential-Access
。我們觀察到動作 種類是 unactioned
警報安全控制。在調查過程中,我們觀察到 85[.]209[.]11[.]108
25[.]523[.]15[.]215
一個請求從IP連接到內部IP的嘗試 /webtools/control/ping?USERNAME=&PASSWORD=&requirePasswordChange=Y
。根據OSINT,外部IP地址本質上是惡意的。內部IP不是您資產中的託管主機,這會限制我們對事件的可見性。根據這些調查結果,請參閱以下建議。
建議操作
25[.]523[.]15[.]215
如果可能,使用MDR保護設備IP。- 封鎖
85[.]209[.]11[.]108
網路周邊防火牆上的IP。
客戶確認已封鎖IP位址以防止進一步入侵。