ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), on binlerce Fortinet cihazına ait oturum bilgilerinin internete sızmasının ardından yeni bir güvenlik uyarısı yayınladı. FortiBleed adı verilen veri sızıntısının yaklaşık 74 bin güvenlik duvarı ile VPN cihazını etkilediği belirtilirken CISA, etkilenen sistemlerde acil parola değişikliği yapılmasını ve tüm aktif oturumların sonlandırılmasını istedi. Kurum, ele geçirilen hesap bilgilerinin dünya genelindeki internete açık Fortinet sistemlerine yönelik saldırılarda kullanılmaya başlandığını da doğruladı.

Sızdırılan Hesap Bilgileri Dünya Genelindeki Kurumları Hedefe Taşıdı

CISA, saldırganların ele geçirilen hesap bilgilerini kullanarak kamu kurumları ile özel sektör kuruluşlarına ait internete açık Fortinet cihazlarına erişmeye çalıştığını açıkladı. Güvenlik araştırmacısı Volodymyr “Bob” Diachenko tarafından ortaya çıkarılan veri tabanında yaklaşık 73 bin 932 güvenlik duvarına ait kullanıcı adı, e-posta adresi, düz metin parola ile bağlantı bilgileri bulundu. İnceleme sırasında yalnızca giriş bilgilerinin değil, kurumların faaliyet alanı, çalışan sayısı ile gelir bilgileri gibi saldırı planlamasında kullanılabilecek verilerin de yer aldığı görüldü. Uzmanlar, bu kapsamın şimdiye kadar görülen en büyük Fortinet kimlik bilgisi sızıntısı olaylarından biri olduğuna dikkat çekiyor.

Siber tehdit istihbaratı şirketi Hudson Rock, veri kümesini analiz ettikten sonra bilgilerin 21 bin 632 farklı alan adını kapsadığını açıkladı. Veri tabanında Samsung, Mercedes-Benz, Foxconn, Chevron, Comcast, AT&T ile Toyota gibi büyük şirketlerin yanında çok sayıda kamu kurumu ile kritik altyapı kuruluşunun da yer aldığı belirtildi. En fazla etkilenen ülkeler arasında Hindistan, ABD, Tayvan, Meksika ile Türkiye bulunuyor. Aynı analiz, saldırganların özellikle Fortinet VPN altyapılarını hedef alabilecek yeterli bilgiye sahip olduğunu ortaya koyarken güvenlik ekiplerinin hızlı hareket etmesi gerektiğini gösteriyor.

CISA Güvenlik Önlemlerini Artırma Çağrısı Yaptı

CISA, saldırı riskini azaltmak isteyen kurumların tüm SSL VPN oturumlarını sonlandırmasını, yönetici hesaplarının parolalarını değiştirmesini, kimlik avına dayanıklı çok faktörlü kimlik doğrulamasını etkinleştirmesini öneriyor. Kurum ayrıca yönetici hesaplarının PBKDF2 algoritmasıyla korunmasını, güvenlik duvarı yönetim arayüzlerinin doğrudan internet erişimine kapatılmasını, yetkisiz kullanıcı hesaplarının silinmesini ile sistem günlüklerinin ayrıntılı biçimde incelenmesini tavsiye ediyor. Uzmanlar, bu adımların Fortinet güvenlik açığı kaynaklı olası saldırıların etkisini azaltabileceğini değerlendiriyor.

Güvenlik uzmanı Kevin Beaumont, sızdırılan verilerin önemli bölümünü bağımsız olarak doğruladığını açıklarken etkilenen cihazların büyük kısmının hâlâ çevrim içi durumda olduğunu belirtti. Araştırmacılar, bilgilerin hangi yöntemle ele geçirildiğini henüz kesin olarak belirleyebilmiş değil. Eski zafiyetlerin istismar edilmiş olması, yeni keşfedilmemiş bir açık ya da farklı saldırı teknikleri üzerinde çalışmalar sürüyor. Aynı dönemde FortiGate ürün ailesiyle ilgili farklı güvenlik sorunlarının da aktif olarak istismar edildiği bildiriliyor. CISA verilerine göre son yıllarda Fortinet ürünlerinde tespit edilen 26 güvenlik açığının gerçek saldırılarda kullanıldığı, bunların 13’ünün fidye yazılımı operasyonlarında saldırganlar tarafından istismar edildiği biliniyor.