FortiBleed Saldırısı: 75.000 FortiGate Güvenlik Duvarı Kimlik Bilgisi Sızdırıldı – NCSC Uyarı Yayınladı Yazılım

FortiBleed Saldırısı: 75.000 FortiGate Güvenlik Duvarı Kimlik Bilgisi Sızdırıldı – NCSC Uyarı Yayınladı

FortiBleed saldırısı, 75.000 FortiGate güvenlik duvarı kimlik bilgisini açığa çıkardı. NCSC, Fortinet müşterilerini acil önlem almaya çağırıyor.

Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), Fortinet müşterilerini hedef alan küresel bir kimlik bilgisi hırsızlığı kampanyasına karşı uyarı yayınladı. Geçtiğimiz hafta güvenlik araştırmacıları, FortiGate güvenlik duvarları ve SSL VPN'lerinden çalınan yaklaşık 75.000 kimlik bilgisini içeren bir veritabanı keşfetti. 'FortiBleed' olarak adlandırılan bu veritabanında Oracle, Spotify, Toyota ve AT&T gibi büyük şirketlere ait kullanıcı adları, e-posta adresleri ve düz metin şifreler yer alıyor.

Hudson Rock araştırmasına göre, internete açık tüm Fortinet güvenlik duvarlarının yaklaşık yarısı bu şekilde ifşa olmuş olabilir. Sızdırılan kimlik bilgileri 194 ülkedeki müşterileri etkiliyor ve 21.000'den fazla benzersiz alan adıyla bağlantılı. Saldırganların hedef cihazlara nasıl eriştiği tam olarak bilinmiyor; ancak ürünlerdeki eski güvenlik açıkları veya yeni bir sıfırıncı gün açığı kullanılmış olabilir.

Saldırganların önce yapılandırma verilerini çaldığı, ardından içindeki şifreleri kaba kuvvet saldırılarıyla kırdığı düşünülüyor. NCSC, 'kaba kuvvet, sözlük ve kimlik bilgisi doldurma girişimleri' konusunda uyarıda bulundu. Raporlar, birçok kuruluşun bu saldırılar sonucunda ağlarının tamamen ele geçirildiğini gösteriyor. Veritabanında adı geçen her kuruluş risk altında.

Siber güvenlik araştırmacısı Kevin Beaumont, sızdırılan bilgilerin 'şirket türü, gelir ve ülke gibi bilgileri listeleyen bir eCrime çetesine benzer şekilde formatlandığını' belirtti. Hudson Rock ise saldırganların 320.000'den fazla FortiGate hedefine karşı tahmini 1,16 milyar kimlik bilgisi denemesi ve 160.000'den fazla MSSQL sunucusuna yönelik 2,1 milyar kaba kuvvet girişimi gerçekleştirdiğini ekledi.

NCSC, Fortinet müşterilerine Hudson Rock veya SOCRadar'ın FortiBleed kontrol araçlarını kullanarak cihazlarının etkilenip etkilenmediğini kontrol etmelerini ve yetkisiz hesap oluşturma veya log dosyalarında beklenmeyen etkinlik gibi saldırı göstergelerini (IoC) aramalarını tavsiye ediyor. Ardından etkilenen kuruluşların şunları yapması öneriliyor: şifreleri değiştirmek, çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmek, güvenlik duvarı yazılımını güncellemek ve ağ trafiğini izlemek.

Gelecekte Ne Bekleniyor?

Bu olay, kuruluşların güvenlik duvarlarını ve VPN'lerini düzenli olarak güncellemeleri, güçlü şifre politikaları uygulamaları ve MFA kullanmaları gerektiğini bir kez daha hatırlatıyor. FortiBleed saldırısı, siber suçluların eski güvenlik açıklarını ve zayıf kimlik doğrulama yöntemlerini hedef alarak büyük ölçekli veri ihlallerine yol açabileceğini gösteriyor.

Kaynak: infosecurity-magazine.com

Paylaş: