Wie kann man Verzeichnisse auf der Fortigate durchsuchen
… wenn bspw. nach Unregelmäßigkeiten gesucht werden soll?
Im aktuellen Fall weist Fortinet darauf hin, dass bspw. bei der Ausnutzung der Sicherheitslücke CVE-2022-42475 (Risiko „kritisch“), im Zusammenhang mit einer Schwachstelle bei der SSL-VPN Schnittstelle, das Dateisystem auf möglicherweise abgelegte Dateien zu prüfen.
Die Verzeichnisse sind benannt, also schaut man sich den Ordner /data/lib/ via CLI wie folgt an…
fnsysctl ls -l /data/lib
und prüft anschließend die Liste der angezeigten Dateien.
In diesem Beispiel sind nur die Standard Dateien enthalten, also eine „verdächtigen“ Dateien. Dies wiederholt man für alle anderen angegebenen Verzeichnisse und prüft diese so auf Spuren einer Kompromittierung. Auf das Durchsuchen der Logs, hinsichtlich der genannten Source IP’s und System Events gehe ich hier nicht ein, ich denke das ist soweit klar.