İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), Fortinet müşterilerini hedef alan küresel bir kimlik bilgisi hırsızlığı kampanyasına karşı önemli bir uyarı yayımladı. Güvenlik araştırmacıları, geçtiğimiz hafta FortiGate güvenlik duvarı ve SSL VPN kullanıcılarına ait yaklaşık 75.000 kimlik bilgisinin çalındığı bir veri tabanı keşfetti. 'FortiBleed' olarak adlandırılan bu saldırıda, Oracle, Spotify, Toyota ve AT&T gibi büyük şirketlerin kullanıcı adları, e-posta adresleri ve düz metin şifreleri ele geçirildi. Uzmanlara göre, internete açık Fortinet güvenlik duvarlarının yaklaşık yarısı bu şekilde tehlikeye atılmış olabilir.
Hudson Rock şirketinin analizine göre, sızdırılan kimlik bilgileri 194 ülkedeki kullanıcıları etkiliyor ve 21.000'den fazla benzersiz alan adıyla bağlantılı. Saldırganların hedef cihazlara nasıl eriştiği henüz tam olarak bilinmiyor; ancak eski güvenlik açıklarını veya yeni bir sıfırıncı gün zafiyetini kullanmış olabilecekleri düşünülüyor. Görünüşe göre tehdit aktörleri önce yapılandırma verilerini çaldı, ardından içerdikleri şifreleri kaba kuvvet saldırısıyla kırdı. NCSC, bu saldırılarda 'kaba kuvvet, sözlük ve kimlik bilgisi doldurma girişimleri' kullanıldığını belirtti.
Raporlar, birçok kuruluşun bu saldırılar sonucunda tam ağ ihlali yaşadığını ve veri tabanında yer alan her kuruluşun risk altında olduğunu gösteriyor. Siber güvenlik araştırmacısı Kevin Beaumont, sızdırılan bilgilerin 'şirket türü, geliri ve ülkesi gibi bilgileri listeleyerek bir siber suç çetesine benzediğini' söyledi. Hudson Rock ise, saldırganların 320.000'den fazla FortiGate hedefine karşı tahmini 1,16 milyar kimlik bilgisi denemesi yaptığını ve ayrıca 160.000'den fazla MSSQL sunucusuna 2,1 milyar kaba kuvvet saldırısı düzenlediğini ekledi.
NCSC, Fortinet kullanıcılarının cihazlarının etkilenip etkilenmediğini kontrol etmek için Hudson Rock veya SOCRadar'ın FortiBleed kontrol araçlarını kullanmalarını ve ardından yetkisiz hesap oluşturma veya günlük dosyalarında beklenmeyen etkinlikler gibi ihlal göstergelerini (IoCs) aramalarını önerdi. Ayrıca, etkilenen kuruluşların acilen şifreleri değiştirmesi, çok faktörlü kimlik doğrulamayı etkinleştirmesi ve Fortinet cihazlarını en son güvenlik yamalarıyla güncellemesi gerektiği vurgulandı. Uzmanlar, bu tür saldırılara karşı proaktif önlemler almanın hayati önem taşıdığını belirtiyor.