İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), Fortinet ürünlerini kullanan kurumları küresel bir kimlik avı kampanyasına karşı uyardı. Güvenlik araştırmacıları, geçtiğimiz hafta FortiGate güvenlik duvarı ve SSL VPN kullanıcılarına ait yaklaşık 75.000 kimlik bilgisinin çalındığı bir veri tabanı keşfetti. 'FortiBleed' olarak adlandırılan bu veri tabanında, Oracle, Spotify, Toyota ve AT&T gibi büyük şirketlerin kullanıcı adları, e-posta adresleri ve düz metin şifreleri yer alıyor. Uzmanlar, internete açık Fortinet güvenlik duvarlarının yaklaşık yarısının bu şekilde tehlikeye atılmış olabileceğini belirtiyor.
Hudson Rock firmasının analizine göre, sızdırılan kimlik bilgileri 194 ülkedeki kullanıcıları etkiliyor ve 21.000'den fazla farklı alan adıyla ilişkili. Saldırganların hedef cihazlara nasıl eriştiği henüz netlik kazanmasa da, eski güvenlik açıklarını veya yeni bir sıfır gün zafiyetini kullanmış olabilecekleri düşünülüyor. İlk aşamada yapılandırma verilerini çalan tehdit aktörleri, ardından bu veriler içindeki şifrelere kaba kuvvet saldırıları düzenlemiş. NCSC, 'kaba kuvvet, sözlük ve kimlik bilgisi doldurma girişimleri' tespit ettiklerini açıkladı.
Raporlar, birçok kuruluşun bu saldırılar sonucunda tam ağ ihlaline uğradığını ve veri tabanında yer alan herhangi bir kuruluşun risk altında olduğunu gösteriyor. Siber güvenlik araştırmacısı Kevin Beaumont, sızdırılan bilgilerin 'bir eCrime çetesine ait gibi biçimlendirildiğini; şirket türü, geliri ve ülkesi gibi detaylar içerdiğini' belirtti. Hudson Rock ise saldırganların 320.000'den fazla FortiGate hedefine karşı tahmini 1,16 milyar kimlik bilgisi denemesi ve 160.000'den fazla MSSQL sunucusuna 2,1 milyar kaba kuvvet girişimi gerçekleştirdiğini ekledi.
NCSC, Fortinet müşterilerine Hudson Rock veya SOCRadar'ın FortiBleed kontrol araçlarını kullanarak cihazlarının etkilenip etkilenmediğini kontrol etmelerini ve ardından yetkisiz hesap oluşturma veya günlük dosyalarında beklenmeyen etkinlik gibi ihlal göstergelerini (IoC) aramalarını tavsiye ediyor. Etkilenen kuruluşların derhal parolaları değiştirmesi, çok faktörlü kimlik doğrulamayı etkinleştirmesi ve ağ trafiğini izlemesi öneriliyor. Bu saldırı, güvenlik duvarları ve VPN'ler gibi kritik altyapı bileşenlerinin güncel tutulmasının ve sürekli izlenmesinin önemini bir kez daha ortaya koyuyor.