FortiBleed Olayı ve Önemi
Fortinet kullanıcıları, CISA’nın (Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı) 74,000’den fazla güvenlik duvarı ve VPN kimlik bilgilerinin ifşa olduğu “FortiBleed” veri sızıntısı sonrası dikkatli olmaları konusunda uyarıldı. Söz konusu sızıntı, hem kamu hem de özel sektördeki Fortinet cihazlarına yönelik hedefli siber saldırılar için kullanılmaktadır.
Saldırı Nasıl Çalışıyor?
CISA, korsanların ele geçirilmiş kimlik bilgilerini kullanarak kamuya açık Fortinet cihazlarını hedef aldığını belirtmiştir. FortiBleed olayı, yaklaşık 73,932 Fortinet cihazının URL’leriyle ilişkili kimlik bilgilerinin sızdırılmasıyla ilgilidir. Bu veri sızıntısına dair ayrıntılar:
- Güvenlik araştırmacısı Volodymyr “Bob” Diachenko, 73,932 firewall URL’sine ait kimlik bilgilerini içeren bir sunucu keşfetti.
- Sızan veriler; kullanıcı isimleri, e-posta adresleri ve açık metin şifreler içermektedir.
Bu durum, organizasyonlara yönelik gelecekteki saldırılar için planlama amacı taşıdığı düşünülen bir veri derlemesi olarak kaydedilmiştir.
Etkilenen Sistemler
Veri sızıntısı, dünya genelinde 21,632 benzersiz alan adı ve 194 ülke ile ilişkili en büyük Fortinet kimlik bilgileri koleksiyonlarından biri olarak tanımlanmıştır. Etkilenen bazı ünlü organizasyonlar:
- Samsung
- Mercedes-Benz
- Foxconn
- Cisco
- Chevron
- Comcast
- AT&T
- Toyota
En fazla etki altında kalan bölgeler arasında; Hindistan, Amerika Birleşik Devletleri, Tayvan, Meksika, Türkiye ve Birleşik Arap Emirlikleri bulunmaktadır.
Veri Sızıntısı ile İlgili Tehdit Grubu
Diachenko, sızıntının Rusça konuşan bir tehdit grubu tarafından gerçekleştirildiğini bildirmiştir. Bu grup, 320,000 FortiGate hedefe karşı 1.16 milyar kimlik bilgisi denemesi gerçekleştirmiştir. Sızan verilerin kaynağı kesinlik kazanmamıştır.
Siber güvenlik uzmanı Kevin Beaumont, bazı kimlik bilgilerinin doğruluğunu onaylamış ve çoğu etkilenmiş cihazın hâlâ çevrimiçi olduğunu belirtmiştir.
Çözüm ve Korunma
CISA, skandaldan etkilenen FortiGate cihazı sahiplerine önemli önlemler almalarını önermiştir:
- Tüm SSL VPN ve idari oturumları sonlandırın.
- Tüm VPN ve idari şifreleri sıfırlayın.
- Phishing’e karşı dayanıklı çok faktörlü kimlik doğrulamasını etkinleştirin.
- Yetkisiz erişim veya yan hareketlerin izlenimi için kayıtları gözden geçirin.
- Yönetim arayüzlerini kamu internet erişiminden kısıtlayın.
- Yetkisiz hesapları kaldırarak saldırı yüzeyinizi küçültün.
- Şifreleri depolamak için Password-Based Key Derivation Function 2 (PBKDF2) algoritmasını kullanın.
CISA, 26 Fortinet güvenlik açığının son yıllarda kötüye kullanıldığını da takip ettiklerini bildirmiştir.
Sonuç
Kullanıcılar, Fortinet cihazları üzerindeki yönetici şifrelerini acilen sıfırlamalı ve yukarıda belirtilen güvenlik önlemlerini almalıdır. Port yönetimini kapatmak ve cihazları düzenli olarak güncellemek, potansiyel tehditleri azaltmak için kritik öneme sahiptir. Sızıntıdan etkilenip etkilenmediğini öğrenmek için Hudson Rock’un geliştirdiği FortiBleed sorgulama aracını kullanabilirler.
