Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), Fortinet kullanıcılarını hedef alan küresel bir kimlik avı kampanyasının ardından acil önlemler alınması çağrısında bulundu. Güvenlik araştırmacıları geçtiğimiz hafta FortiGate güvenlik duvarları ve SSL VPN'lerden çalınan yaklaşık 75.000 kullanıcı adı, e-posta adresi ve düz metin paroladan oluşan bir veritabanı keşfetti. FortiBleed olarak adlandırılan bu sızıntıda Oracle, Spotify, Toyota ve AT&T gibi büyük şirketlerin yanı sıra binlerce kuruluşun kimlik bilgileri yer alıyor.
Hudson Rock araştırmalarına göre, internete açık Fortinet güvenlik duvarlarının yaklaşık yarısı bu saldırıdan etkilenmiş olabilir. Sızıntı, 194 ülkedeki müşterileri etkilerken, 21.000'den fazla benzersiz alan adıyla ilişkili. Saldırganların hedef cihazlara nasıl eriştiği henüz tam olarak bilinmiyor; ancak eski güvenlik açıkları veya sıfır gün zafiyetlerini kullanmış olabilecekleri düşünülüyor. İlk aşamada yapılandırma verilerini çalan saldırganlar, daha sonra bu verilerdeki parolaları kaba kuvvet yöntemiyle kırdı.
NCSC, saldırının 'kaba kuvvet, sözlük ve kimlik bilgisi doldurma girişimleri' içerdiğini belirtti. Raporlar, birçok kuruluşun bu saldırı sonucunda ağlarının tamamen ele geçirildiğini gösteriyor. Veritabanında adı geçen her kuruluş risk altında. Siber güvenlik araştırmacısı Kevin Beaumont, sızdırılan bilgilerin 'eCrime çetelerine benzer bir formatta olduğunu; şirket türü, gelir ve ülke gibi detaylar içerdiğini' söyledi. Hudson Rock ise saldırganların 320.000'den fazla FortiGate hedefine karşı tahmini 1.16 milyar kimlik bilgisi denemesi ve 160.000'den fazla MSSQL sunucusuna yönelik 2.1 milyar kaba kuvvet girişimi gerçekleştirdiğini ekledi.
Gelecekte Ne Bekleniyor?
NCSC, Fortinet müşterilerine Hudson Rock veya SOCRadar'ın FortiBleed kontrol araçlarını kullanarak cihazlarının etkilenip etkilenmediğini kontrol etmelerini tavsiye etti. Ardından, yetkisiz hesap oluşturma veya log dosyalarında beklenmedik etkinlikler gibi saldırı göstergelerini (IoC) aramaları gerekiyor. Etkilenen kuruluşlar için önerilen adımlar arasında parolaları sıfırlamak, çok faktörlü kimlik doğrulamayı etkinleştirmek ve güvenlik duvarı yapılandırmalarını gözden geçirmek yer alıyor.
FortiBleed saldırısı, kuruluşların güvenlik duvarlarını ve VPN'lerini güncel tutmalarının, zayıf parolalar kullanmamalarının ve ek güvenlik katmanları eklemelerinin ne kadar önemli olduğunu bir kez daha gösterdi. Özellikle internete açık cihazlar, saldırganlar için kolay hedef haline gelebiliyor. Uzmanlar, Fortinet kullanıcılarının en kısa sürede NCSC'nin rehberini takip etmelerini ve olası sızıntılara karşı hazırlıklı olmalarını tavsiye ediyor.
Bu olay, siber güvenlik alanında proaktif olmanın gerekliliğini vurguluyor. Kuruluşlar, düzenli güvenlik taramaları yapmalı, çalışanlarını siber farkındalık konusunda eğitmeli ve en iyi uygulamaları benimsemelidir. Aksi takdirde, FortiBleed gibi saldırılar ciddi veri ihlallerine ve maddi kayıplara yol açabilir.
Kaynak: infosecurity-magazine.com