ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Fortinet cihazlarını hedef alan yeni bir siber saldırı dalgasına karşı acil uyarı yayınladı. 'FortiBleed' olarak adlandırılan bu saldırıda, kötü niyetli aktörlerin ele geçirdiği kimlik bilgileriyle yaklaşık 74.000 Fortinet cihazına (güvenlik duvarı ve VPN ağ geçitleri dahil) sızdığı bildirildi. CISA, özellikle kamu kurumları ve özel sektördeki FortiGate kullanıcılarını derhal harekete geçmeye çağırıyor.
Saldırganlar, internet üzerinden erişilebilen Fortinet cihazlarının yönetici ve VPN hesaplarına ait çalıntı kimlik bilgilerini kullanarak ağlara sızıyor. Bu durum, kurumların kritik altyapılarına, hassas verilerine ve iç ağlarına tam erişim anlamına geliyor. FortiBleed saldırısının boyutu, sızdırılan 74.000 cihazın kimlik bilgilerinin karanlık ağda paylaşılmasıyla ortaya çıktı. CISA, bu tehdidin ciddiyetini vurgulamak için uyarı seviyesini yükseltti ve Fortinet'in yayınladığı son güvenlik kılavuzuna atıfta bulundu.
CISA, Fortinet kullanıcılarına aşağıdaki acil adımları atmalarını öneriyor: İlk olarak, tüm aktif SSL VPN ve yönetici oturumlarını derhal sonlandırın ve tüm VPN ile yönetici şifrelerini sıfırlayın. Özellikle internete açık sistemlerde güçlü şifre politikaları uygulayın. İkinci olarak, yönetici kimlik bilgilerinin depolanmasında PBKDF2 algoritmasının kullanıldığından emin olun ve eski, zayıf hash'leri kaldırın. Fortinet, FortiOS sürüm 7.2.11 ve sonrasında PBKDF2'yi zorunlu kılan bir teknik not yayınladı.
Üçüncü adım olarak, güvenlik duvarı, VPN, kimlik doğrulama ve etki alanı denetleyicisi loglarını inceleyin. Yanal hareket, olağandışı erişim, şüpheli hesaplar veya yetkisiz yapılandırma değişiklikleri olup olmadığını kontrol edin. Dördüncü olarak, tüm uzaktan erişim ve yönetici hesaplarında kimlik avına dayanıklı çok faktörlü kimlik doğrulama (MFA) zorunlu kılın. MFA'nın tüm harici ağ geçitlerinde ve yönetici arayüzlerinde etkin olduğundan emin olun.
Son olarak, saldırı yüzeyini azaltmak için yönetim erişimini kısıtlayın. Güvenlik duvarı yönetimini kamuya açık internetten erişilemez hale getirin; Fortinet yönetim arayüzlerini yalnızca güvenilir iç ağlarla sınırlayın; yetkisiz veya gereksiz tüm hesapları kaldırın veya devre dışı bırakın. Bu önlemler, FortiBleed benzeri saldırılara karşı en etkili savunma yöntemleri olarak öne çıkıyor.
FortiBleed saldırısı, kurumların siber güvenlik politikalarını gözden geçirmeleri için bir uyarı niteliği taşıyor. Özellikle VPN ve uzaktan erişim çözümlerinin güvenliği, hibrit çalışma modellerinin yaygınlaştığı günümüzde kritik önem taşıyor. CISA'nın uyarıları doğrultusunda hareket eden kurumlar, bu tür saldırılara karşı savunmalarını güçlendirebilir. Unutmayın, siber güvenlikte proaktif olmak, reaktif olmaktan her zaman daha etkilidir.
Kaynak: cisa.gov