İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), Fortinet müşterilerini hedef alan küresel bir kimlik bilgisi hırsızlığı kampanyasına karşı önemli bir uyarı yayınladı. Geçtiğimiz hafta siber güvenlik araştırmacıları tarafından keşfedilen FortiBleed saldırısında, FortiGate güvenlik duvarı ve SSL VPN kullanıcılarına ait yaklaşık 75.000 kimlik bilgisi çalındı. Sızdırılan veriler arasında Oracle, Spotify, Toyota ve AT&T gibi büyük şirketlerin kullanıcı adları, e-posta adresleri ve düz metin şifreleri yer alıyor. Hudson Rock ve SOCRadar gibi firmalar, etkilenen cihazların tespiti için özel araçlar geliştirdi.
Uzmanlara göre, internete açık Fortinet güvenlik duvarlarının yaklaşık yarısı bu saldırıdan etkilenmiş olabilir. Hudson Rock'ın raporuna göre, sızdırlanan kimlik bilgileri 194 ülkedeki kullanıcıları kapsıyor ve 21.000'den fazla benzersiz alan adıyla bağlantılı. Saldırganların cihazlara nasıl eriştiği henüz netlik kazanmasa da, eski güvenlik açıklarını veya sıfır gün zafiyetlerini kullanmış olabilecekleri düşünülüyor. Araştırmalar, tehdit aktörlerinin önce yapılandırma verilerini çaldığını, ardından içindeki şifreleri kaba kuvvet saldırılarıyla kırdığını gösteriyor.
NCSC, Fortinet müşterilerine Hudson Rock veya SOCRadar'ın FortiBleed kontrol araçlarını kullanarak cihazlarının etkilenip etkilenmediğini kontrol etmelerini öneriyor. Ayrıca, yetkisiz hesap oluşturma veya log dosyalarında beklenmeyen aktiviteler gibi tehlike işaretlerine (IoC) karşı dikkatli olunması gerektiğini vurguluyor. Saldırının boyutu oldukça büyük: Hudson Rock'a göre saldırganlar, 320.000'den fazla FortiGate hedefine karşı tahminen 1,16 milyar kimlik bilgisi denemesi yaptı ve 160.000'den fazla MSSQL sunucusuna 2,1 milyar kaba kuvvet girişiminde bulundu.
Siber güvenlik araştırmacısı Kevin Beaumont, sızdırılan bilgilerin organize bir siber suç grubuna işaret ettiğini belirtti. Verilerin şirket türü, gelir ve ülke bilgilerini içerecek şekilde düzenlendiğini ifade etti. Birçok kuruluşun bu saldırı sonucunda tam ağ ihlali yaşadığı bildiriliyor. NCSC, etkilenen kuruluşlara derhal şifreleri değiştirmelerini, çok faktörlü kimlik doğrulamayı etkinleştirmelerini ve ağ trafiğini izlemelerini tavsiye ediyor. FortiBleed, kurumsal güvenlik duvarlarının bile hedef alınabileceğini ve düzenli güvenlik güncellemelerinin önemini bir kez daha gösteriyor.