Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), Fortinet müşterilerini FortiBleed olarak adlandırılan küresel bir kimlik bilgisi hırsızlığı kampanyasına karşı uyardı. Geçtiğimiz hafta güvenlik araştırmacıları, FortiGate güvenlik duvarları ve SSL VPN müşterilerinden çalınan yaklaşık 75.000 kimlik bilgisinden oluşan bir veritabanı keşfetti. Sızdırılan veriler arasında Oracle, Spotify, Toyota ve AT&T gibi büyük şirketlere ait kullanıcı adları, e-posta adresleri ve düz metin şifreler yer alıyor. NCSC, bu tür olayların kritik altyapı ve büyük işletmeler için ciddi riskler oluşturduğunu vurguluyor.
Siber güvenlik araştırmacılarına göre, internete açık tüm Fortinet güvenlik duvarlarının yaklaşık yarısı bu şekilde tehlikeye atılmış olabilir. Hudson Rock firması, sızdırılan kimlik bilgilerinin 194 ülkedeki müşterileri etkilediğini ve 21.000'den fazla benzersiz alan adıyla bağlantılı olduğunu tespit etti. Hedef cihazlara ilk erişimin nasıl sağlandığı henüz net değil; ancak eski güvenlik açıklarından veya yeni bir sıfır gün zafiyetinden yararlanılmış olabileceği düşünülüyor.
NCSC, saldırganların önce yapılandırma verilerini çaldığını, ardından içindeki şifrelere kaba kuvvet ve sözlük saldırıları uyguladığını belirtiyor. Kimlik bilgisi doldurma (credential stuffing) girişimleri de rapor edilmiş durumda. Birçok kuruluşun bu saldırı sonucunda tam ağ ihlali yaşadığı bildiriliyor. Veritabanında yer alan herhangi bir kuruluş risk altında. Güvenlik araştırmacısı Kevin Beaumont, sızdırılan bilgilerin bir eCrime çetesine ait gibi biçimlendirildiğini; şirket türü, gelir ve ülke gibi detaylar içerdiğini belirtiyor.
Teknik Analiz
Hudson Rock, operasyonun boyutunun şaşırtıcı olduğunu vurguluyor: Saldırganlar, 320.000'den fazla FortiGate hedefine karşı tahmini 1.16 milyar kimlik bilgisi denemesi ve 160.000'den fazla MSSQL sunucusuna karşı 2.1 milyar kaba kuvvet saldırısı gerçekleştirdi. Bu devasa çaplı saldırı, kuruluşların güvenlik duvarlarını ve VPN'lerini güçlendirmeleri gerektiğini bir kez daha gösteriyor.
NCSC, Fortinet müşterilerine öncelikle Hudson Rock veya SOCRadar'ın FortiBleed kontrol araçlarını kullanarak cihazlarının etkilenip etkilenmediğini kontrol etmelerini öneriyor. Ardından, yetkisiz hesap oluşturma veya log dosyalarında beklenmeyen aktiviteler gibi ihlal göstergelerini (IoC) aramaları gerekiyor. Etkilenen kuruluşlar için NCSC'nin tavsiyeleri arasında tüm şifrelerin derhal sıfırlanması, çok faktörlü kimlik doğrulamanın (MFA) etkinleştirilmesi ve ağ trafiğinin izlenmesi yer alıyor.
Bu olay, siber güvenlik uzmanlarının Fortinet ürünlerindeki güvenlik açıklarına karşı daha proaktif olmaları gerektiğini hatırlatıyor. Kuruluşların, güvenlik duvarı yapılandırmalarını düzenli olarak gözden geçirmesi, gereksiz hizmetleri kapatması ve yama yönetimini sıkı tutması kritik önem taşıyor. Ayrıca, çalınan kimlik bilgilerinin karanlık ağda dolaştığı göz önüne alındığında, şifre hijyeni ve farklı platformlarda aynı şifrenin kullanılmaması hayati önemde.
Kaynak: infosecurity-magazine.com