CISA (ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı), Fortinet cihazlarını hedef alan FortiBleed adlı bir saldırı kampanyası hakkında acil bir uyarı yayınladı. Bu saldırılarda, kötü niyetli aktörlerin, internet üzerinden erişilebilen Fortinet cihazlarına, çalıntı kimlik bilgileri kullanarak sızdığı bildiriliyor. Yaklaşık 74.000 Fortinet cihazının (güvenlik duvarları ve VPN ağ geçitleri dahil) kimlik bilgilerinin sızdırıldığı tespit edildi. CISA, bu kritik tehdide karşı Fortinet kullanıcılarına derhal harekete geçme çağrısı yapıyor.
FortiBleed saldırıları, daha önce bilinen güvenlik açıklarını kullanmak yerine, doğrudan çalıntı kullanıcı adı ve şifrelerle sistemlere erişmeyi hedefliyor. Bu nedenle, saldırıya uğramamak için mevcut oturumların sonlandırılması ve tüm şifrelerin sıfırlanması büyük önem taşıyor. CISA, özellikle internet üzerinden erişime açık sistemlerdeki Fortinet VPN ve yönetici şifrelerinin derhal değiştirilmesini ve güçlü şifre politikalarının uygulanmasını tavsiye ediyor.
CISA'nın önerdiği bir diğer kritik adım ise, kimlik bilgilerinin güvenli bir şekilde saklanması. FortiOS'un 7.2.11 ve sonraki sürümlerinde, yönetici hesapları için PBKDF2 (Password-Based Key Derivation Function 2) karma algoritmasının kullanılması zorunlu hale getirildi. CISA, kullanıcıların bu ayarı kontrol ederek eski ve zayıf karma algoritmalarını kaldırmalarını öneriyor. PBKDF2, şifrelerin daha güvenli bir şekilde saklanmasını sağlayarak, sızdırılsa bile kırılmasını zorlaştırıyor.
Saldırıların tespiti için log kayıtlarının incelenmesi de büyük önem taşıyor. CISA, güvenlik duvarı, VPN, kimlik doğrulama ve etki alanı denetleyicisi loglarının düzenli olarak kontrol edilmesini; yanal hareket, olağandışı erişim, şüpheli hesaplar veya yetkisiz yapılandırma değişikliklerinin aranmasını öneriyor. Bu sayede, saldırılar erken aşamada tespit edilebilir ve zararın büyümesi engellenebilir.
Önemli Gelişmeler
Kimlik avına dayanıklı çok faktörlü kimlik doğrulamanın (MFA) uygulanması, bu tür saldırılara karşı en etkili savunma yöntemlerinden biridir. CISA, tüm uzaktan erişim ve yönetici hesaplarında MFA kullanılmasını ve bu korumanın tüm harici ağ geçitleri ile yönetim arayüzlerinde zorunlu tutulmasını tavsiye ediyor. MFA, çalıntı şifrelerle bile saldırganların sisteme girmesini engelleyebilir.
Nasıl Önlem Alınmalı?
Son olarak, saldırı yüzeyini azaltmak ve yönetim erişimini kısıtlamak kritik öneme sahip. CISA, güvenlik duvarı yönetimine internet üzerinden erişimin engellenmesini, Fortinet yönetim arayüzlerinin yalnızca güvenilen iç ağlarla sınırlandırılmasını ve yetkisiz veya gereksiz hesapların kaldırılmasını öneriyor. Bu adımlar, potansiyel saldırı vektörlerini en aza indirerek cihazların güvenliğini artıracaktır.
Kaynak: cisa.gov