İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), Fortinet ürünlerini kullanan kuruluşları, dünya çapında 75.000'den fazla cihazı etkileyen büyük bir kimlik bilgisi hırsızlığı kampanyasına karşı uyardı. FortiBleed adı verilen bu saldırıda, FortiGate güvenlik duvarları ve SSL VPN cihazlarından çalınan kullanıcı adları, e-posta adresleri ve düz metin şifreler içeren bir veritabanı ortaya çıkarıldı. Oracle, Spotify, Toyota ve AT&T gibi büyük şirketlerin de aralarında bulunduğu kuruluşlar bu veri sızıntısından etkilendi. Araştırmacılar, internete açık Fortinet güvenlik duvarlarının yaklaşık yarısının bu şekilde tehlikeye atılmış olabileceğini belirtiyor.
Siber güvenlik firması Hudson Rock'a göre, çalınan kimlik bilgileri 194 ülkedeki müşterileri etkiliyor ve 21.000'den fazla benzersiz alan adıyla ilişkili. Saldırganların hedef cihazlara nasıl eriştiği tam olarak bilinmiyor; ancak eski güvenlik açıklarından veya yeni bir sıfırıncı gün zafiyetinden yararlanılmış olabileceği düşünülüyor. İlk aşamada yapılandırma verilerinin çalındığı, ardından içindeki şifrelere kaba kuvvet (brute-force) saldırısı uygulandığı anlaşılıyor. NCSC, saldırının 'brute-force, sözlük ve kimlik bilgisi doldurma (credential stuffing) girişimleri' içerdiğini belirtti.
Veri sızıntısının boyutu oldukça büyük: Hudson Rock, saldırganların 320.000'den fazla FortiGate hedefine karşı yaklaşık 1,16 milyar kimlik bilgisi denemesi yaptığını ve 160.000'den fazla MSSQL sunucusuna karşı 2,1 milyar brute-force girişiminde bulunduğunu açıkladı. Sızan bilgilerin, suç örgütlerinin tipik formatında (şirket türü, gelir ve ülke bilgileri içerecek şekilde) düzenlendiği görülüyor. Güvenlik araştırmacısı Kevin Beaumont, bu durumun eCrime çetelerinin işi olduğuna işaret ettiğini söyledi.
Uzmanların Görüşleri
NCSC, Fortinet müşterilerine Hudson Rock veya SOCRadar'ın FortiBleed kontrol araçlarını kullanarak cihazlarının etkilenip etkilenmediğini kontrol etmelerini tavsiye ediyor. Ayrıca, yetkisiz hesap oluşturma veya log dosyalarında beklenmeyen aktiviteler gibi uzlaşma göstergeleri (IoC) için sistemlerin taranması gerekiyor. Etkilenen kuruluşların şu adımları atması öneriliyor: Şifreleri derhal değiştirin, çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin, ağ trafiğini anormalliklere karşı izleyin ve Fortinet güvenlik duvarı yazılımını en son sürüme güncelleyin.
Bu saldırı, özellikle uzaktan erişim çözümlerinin güvenliğinin ne kadar kritik olduğunu bir kez daha gösteriyor. Kuruluşların VPN ve güvenlik duvarı yapılandırmalarını düzenli olarak gözden geçirmesi, gereksiz açık portları kapatması ve varsayılan şifreleri değiştirmesi hayati önem taşıyor. Ayrıca, çalınan kimlik bilgileriyle gerçekleştirilebilecek hedefli saldırılara karşı çalışanların siber güvenlik farkındalığının artırılması gerekiyor.
FortiBleed olayı, siber suçluların büyük ölçekli kimlik bilgisi hırsızlığı kampanyaları düzenleyebildiğini ve bu bilgileri ağlara sızmak için kullanabildiğini gösteriyor. NCSC'nin uyarıları doğrultusunda, Fortinet müşterilerinin derhal harekete geçmesi ve gerekli güvenlik önlemlerini alması büyük önem taşıyor. Aksi takdirde, kurumsal ağların tamamen ele geçirilmesi riskiyle karşı karşıya kalınabilir.
Kaynak: infosecurity-magazine.com