İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), Fortinet müşterilerini küresel bir kimlik bilgisi hırsızlığı kampanyasının etkilerine karşı uyardı. Geçtiğimiz hafta güvenlik araştırmacıları tarafından keşfedilen FortiBleed saldırısı, FortiGate güvenlik duvarı ve SSL VPN müşterilerine ait yaklaşık 75.000 kimlik bilgisini çaldı. Çalınan veriler arasında kullanıcı adları, e-posta adresleri ve düz metin şifreler bulunuyor. Etkilenen kuruluşlar arasında Oracle, Spotify, Toyota ve AT&T gibi dev şirketler yer alıyor.
Hudson Rock araştırmalarına göre, internete açık Fortinet güvenlik duvarlarının yaklaşık yarısı bu şekilde tehlikeye atılmış olabilir. Veri sızıntısı 194 ülkedeki müşterileri etkiliyor ve 21.000'den fazla benzersiz alan adına bağlı. Saldırganların cihazlara nasıl eriştiği henüz net değil; ancak eski güvenlik açıklarını veya sıfır gün zafiyetlerini kullanmış olabilecekleri düşünülüyor.
Saldırganların öncelikle yapılandırma verilerini çaldığı, ardından içindeki şifreleri kaba kuvvet (brute-force) yöntemiyle kırdığı anlaşılıyor. NCSC, 'kaba kuvvet, sözlük ve kimlik bilgisi doldurma girişimleri' konusunda uyarıda bulundu. Birçok kuruluşun bu saldırı sonucunda tam ağ ihlali yaşadığı rapor ediliyor ve veritabanında yer alan her kuruluş risk altında.
Detaylar ve Etkileri
Siber güvenlik araştırmacısı Kevin Beaumont, sızdırılan bilgilerin bir eCrime çetesine ait olduğuna işaret ettiğini belirtti. Verilerin şirket türü, gelir ve ülke gibi bilgileri içerdiğini söyledi. Hudson Rock ise saldırganların 320.000'den fazla FortiGate hedefine karşı tahmini 1.16 milyar kimlik bilgisi girişimi ve 160.000'den fazla MSSQL sunucusuna karşı 2.1 milyar kaba kuvvet girişiminde bulunduğunu açıkladı.
NCSC, Fortinet müşterilerine şu adımları öneriyor: Öncelikle Hudson Rock veya SOCRadar'ın FortiBleed kontrol araçlarını kullanarak cihazlarının etkilenip etkilenmediğini kontrol edin. Ardından yetkisiz hesap oluşturma veya günlük dosyalarında beklenmeyen etkinlik gibi ihlal göstergelerini (IoC) arayın. Etkilenen kuruluşlar şifreleri sıfırlamalı, güvenlik duvarı yapılandırmalarını gözden geçirmeli ve çok faktörlü kimlik doğrulama (MFA) uygulamalıdır.
Sonuç ve Değerlendirme
NCSC ayrıca Fortinet ürünlerinin güncel olduğundan emin olunmasını, ağ erişim kontrollerinin sıkılaştırılmasını ve şüpheli etkinliklerin izlenmesini tavsiye ediyor. FortiBleed saldırısı, siber güvenlik topluluğunda büyük yankı uyandırdı ve kuruluşları güvenlik önlemlerini artırmaya çağırıyor.
Kaynak: infosecurity-magazine.com