İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), Fortinet müşterilerini küresel çapta devam eden bir kimlik bilgisi hırsızlığı kampanyasına karşı uyardı. Geçtiğimiz hafta güvenlik araştırmacıları, FortiGate güvenlik duvarları ve SSL VPN istemcilerinden çalınan yaklaşık 75.000 kimlik bilgisini içeren bir veritabanı keşfetti. 'FortiBleed' olarak adlandırılan bu sızıntıda; Oracle, Spotify, Toyota ve AT&T gibi büyük şirketlerin kullanıcı adları, e-posta adresleri ve düz metin şifreleri yer alıyor. Uzmanlar, internete açık Fortinet güvenlik duvarlarının yaklaşık yarısının bu şekilde ifşa olmuş olabileceğini belirtiyor.
Hudson Rock araştırmasına göre, sızdırılan kimlik bilgileri 194 ülkedeki müşterileri etkiliyor ve 21.000'den fazla benzersiz alan adıyla ilişkili. Saldırganların hedef cihazlara nasıl eriştiği henüz netlik kazanmamış olsa da, eski güvenlik açıklarını veya yeni bir sıfırıncı gün zafiyetini kullanmış olabilecekleri düşünülüyor. NCSC, saldırının 'kaba kuvvet, sözlük ve kimlik bilgisi doldurma' yöntemleriyle gerçekleştirildiğini belirtiyor.
Saldırganların önce yapılandırma verilerini çaldığı, ardından içindeki şifreleri kaba kuvvetle kırdığı anlaşılıyor. Hudson Rock, saldırganların 320.000'den fazla FortiGate hedefine karşı tahmini 1,16 milyar kimlik bilgisi denemesi yaptığını ve ayrıca 160.000'den fazla MSSQL sunucusuna 2,1 milyar kaba kuvvet denemesi gerçekleştirdiğini açıkladı. Bu devasa operasyonun izleri, siber suç örgütlerinin tipik yöntemlerini yansıtıyor; sızdırılan verilerde şirket türü, gelir ve ülke gibi bilgilerin listelenmesi de bunu doğruluyor.
NCSC, Fortinet kullanıcılarına Hudson Rock veya SOCRadar'ın FortiBleed kontrol araçlarını kullanarak cihazlarının etkilenip etkilenmediğini kontrol etmelerini tavsiye ediyor. Ayrıca, yetkisiz hesap oluşturma veya log dosyalarında beklenmeyen aktiviteler gibi saldırı göstergelerine (IoC) karşı dikkatli olunması gerektiğini vurguluyor. Etkilenen kuruluşların, şifreleri sıfırlamak, çok faktörlü kimlik doğrulamayı etkinleştirmek ve güvenlik duvarı yazılımlarını güncellemek gibi acil önlemler alması öneriliyor.
Detaylar ve Etkileri
Uzmanlar, FortiBleed sızıntısının yalnızca bir başlangıç olduğu konusunda uyarıyor. Saldırganların ele geçirdikleri kimlik bilgilerini kullanarak ağlara sızdığı ve fidye yazılımı saldırıları düzenlediği bildiriliyor. Kuruluşların, sızıntıda yer almasalar bile, Fortinet cihazlarını güncel tutmaları ve güvenlik duvarı yapılandırmalarını gözden geçirmeleri kritik önem taşıyor. Ayrıca, çalınan verilerin dark web'de satışa sunulmasıyla birlikte, hedef odaklı saldırıların artması bekleniyor.
Sistem Güvenliği
FortiBleed olayı, kurumsal güvenlik duvarlarının bile ne kadar kırılgan olabileceğini bir kez daha gözler önüne serdi. Şirketlerin, yalnızca güvenlik duvarına güvenmek yerine, çok katmanlı bir savunma stratejisi benimsemesi gerekiyor. Sıfır güven modeli, düzenli güvenlik taramaları ve çalışan farkındalığı eğitimleri, benzer saldırılara karşı en etkili önlemler arasında yer alıyor.
Kaynak: infosecurity-magazine.com