İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), Fortinet müşterilerini küresel bir kimlik avı kampanyasının etkilerine karşı uyardı. FortiBleed olarak adlandırılan bu kampanya, FortiGate güvenlik duvarları ve SSL VPN kullanıcılarına ait yaklaşık 75.000 kimlik bilgisini çaldı. Sızdırılan veriler arasında kullanıcı adları, e-posta adresleri ve düz metin şifreler bulunuyor. Oracle, Spotify, Toyota ve AT&T gibi büyük şirketlerin de aralarında olduğu birçok kuruluş etkilendi.
Hudson Rock ve SOCRadar gibi güvenlik firmaları, FortiBleed'in 194 ülkedeki Fortinet müşterilerini etkilediğini ve 21.000'den fazla benzersiz alan adına ait kimlik bilgilerinin sızdırıldığını tespit etti. Saldırganların, hedef cihazlara nasıl eriştiği tam olarak bilinmemekle birlikte, eski güvenlik açıklarını veya sıfır gün zafiyetlerini kullanmış olabilecekleri düşünülüyor. Saldırganlar, önce yapılandırma verilerini çaldı, ardından içindeki şifreleri kaba kuvvet saldırılarıyla kırdı.
NCSC, Fortinet kullanıcılarının Hudson Rock veya SOCRadar'ın FortiBleed kontrol araçlarını kullanarak cihazlarının etkilenip etkilenmediğini kontrol etmelerini önerdi. Ayrıca, yetkisiz hesap oluşturma veya log dosyalarında beklenmeyen aktiviteler gibi güvenlik ihlali belirtilerine karşı dikkatli olunması gerektiğini vurguladı. Etkilenen kuruluşların derhal şifrelerini sıfırlamaları, çok faktörlü kimlik doğrulamayı etkinleştirmeleri ve ağlarında olağandışı aktiviteleri izlemeleri tavsiye ediliyor.
Uzmanların Görüşleri
Siber güvenlik araştırmacısı Kevin Beaumont, sızdırılan bilgilerin bir siber suç örgütü tarafından formatlandığını belirtti: 'Şirket türü, geliri ve ülkesi gibi bilgiler listelenmiş.' Hudson Rock ise saldırganların 320.000'den fazla FortiGate hedefine karşı tahmini 1.16 milyar kimlik bilgisi denemesi yaptığını ve 160.000'den fazla MSSQL sunucusuna karşı da 2.1 milyar kaba kuvvet saldırısı gerçekleştirdiğini açıkladı. Bu devasa operasyon, birçok kuruluşun tam ağ ihlali yaşamasına neden oldu.