FortiBleed adı verilen yeni bir veri sızıntısı, dünya genelindeki kurumlara ait 73.932 Fortinet ve FortiGate VPN güvenlik duvarı URL’sine ait kimlik bilgilerini ifşa etti. Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota ve Fortinet’in kendisi gibi dev kuruluşların da aralarında bulunduğu veri tabanı, kullanıcı adları, e-posta adresleri ve düz metin şifreler içeriyordu. Güvenlik araştırmacısı Bob Diachenko tarafından keşfedilen sızıntı, Rusça konuşan çoklu operatör grubunun yürüttüğü geniş çaplı bir kaba kuvvet ve aktif kullanım kampanyasının ürünü olarak değerlendiriliyor.

Saldırganlar 3,2 Milyardan Fazla Kimlik Bilgisi Denemesi Gerçekleştirdi

FortiBleed saldırganları, araştırmacıların elde ettiği verilere göre 320.777 FortiGate hedefine karşı yaklaşık 1,16 milyar kimlik bilgisi denemesi yaptı. Ek olarak 163.650 Microsoft SQL Server sistemine yönelik 2,1 milyar giriş denemesi daha gerçekleştirdi. Saldırganlar, SSL VPN kimlik doğrulama hash’lerini ele geçirerek Hashtopolis aracılığıyla yönetilen 45 GPU’luk bir küme kullanarak bu hash’leri kırdı ve elde ettikleri kimlik bilgileriyle dahili Active Directory ortamlarında yanal hareket gerçekleştirdi.

Araştırmacı Diachenko, saldırganların yanlışlıkla açık bir dizin bıraktığını ve burada bağlantı dizeleri, araçlar, betikler ve verilerin yer aldığını keşfetti. Cron işleri, bash geçmişleri ve günlüklerden elde edilen analizler, saldırının boyutunu ortaya koydu. Japonya, Tayvan, Vietnam, Irak ve Türkiye’deki birçok kurumun tamamen ele geçirildiği belirlenirken, Türk bir NATO savunma müteahhidinden sınıflandırılmış belgelerin çalındığı iddia ediliyor.

FortiBleed Veri Seti 194 Ülkeyi ve 21 Bin Benzersiz Alan Adını Kapsıyor

Hudson Rock tehdit istihbarat şirketi, Diachenko’dan aldığı veri setini analiz ederek sızıntının bilinen en büyük Fortinet ile ilgili kimlik bilgisi koleksiyonlarından biri olduğunu açıkladı. FortiBleed veri sızıntısı, 194 ülkede 73.932 benzersiz güvenlik duvarı URL’si ve 21.632 benzersiz alan adını etkiliyor. En fazla etkilenen cihazın bulunduğu ülkeler arasında Hindistan, Amerika Birleşik Devletleri, Tayvan, Meksika, Türkiye, Tayland, Kolombiya, Malezya, Şili ve Birleşik Arap Emirlikleri yer alıyor.

👉️ İlginizi Çekebilir: ShapedPlugin Güncelleme Süreci Hacklenerek WordPress Sitelerine Zararlı Yazılım Dağıtıldı

Kevin Beaumont, verilerin bir kısmını bağımsız olarak inceledi ve bazı yönetici oturum açma bilgilerinin ve şifrelerin gerçek olduğunu doğruladı. Beaumont’a göre veri seti yaklaşık 75 bin Fortinet cihazına ait kimlik bilgilerini içeriyor ve bu cihazların neredeyse tamamı hala çevrimiçi durumda. Verilerin Fortinet yapılandırmalarından dışa aktarılmış gibi göründüğünü belirten Beaumont, etkilenen IP adreslerinin 2025 Belsen Group sızıntısındakilerden farklı olduğunu ve bunun daha yeni ve daha büyük bir koleksiyon olduğunu vurguladı.