Giriş
Son dönemde, Fortinet cihazlarından çalınan kimlik bilgilerini hedef alan “FortiBleed” kampanyası, INC ve Lynx fidye yazılımı operasyonlarıyla bağlantılı olarak tespit edilmiştir. Bu durum, çalınan kimlik bilgileriyle gelecekteki ağ saldırılarına zemin hazırlandığını göstermektedir.
Saldırı Nasıl Çalışıyor?
FortiBleed kampanyası, internette maruz kalan bir sunucuda 73,000‘den fazla Fortinet cihazına ait kimlik bilgilerini barındırmaktadır. Araştırmalar, sunucunun zarar görmüş cihazlardan toplanan kimlik bilgileri ve şifre kırma araçları içerdiğini ortaya koymuştur. SOCRadar tarafından yapılan incelemelerde, saldırganların FortiGate güvenlik duvarları üzerinde çalışan “FortiGate Sniffer” adlı özel bir paket yakalama aracı kullandıkları belirlenmiştir. Bu araç, VPN kimlik bilgilerini ve diğer kimlik doğrulama verilerini doğrudan ağ trafiğinden yakalamıştır.
Etkilenen Sistemler
- Etkilenen Cihazlar:
- 430,000’den fazla FortiGate güvenlik duvarı
- 19,000’den fazla cihazda trafik yakalayıcılar
- 11,000 civarında saldırıya uğramış cihaz
- Kötü Amaçlı Kullanıcı Adı:
adminin kullanıcısı, etkilenen sistemlerde sürekli geri kapı hesapları tespit edilmiştir. - Fidye Yazılımı Grupları:
- INC – 2023’ten beri aktif
- Lynx – 2024’te ortaya çıktı
Çözüm ve Korunma
Araştırmalar, saldırganların gizli bir Nextcloud sıfır gün açığından yararlanarak erişimlerini genişlettiklerini ortaya koymaktadır. Henüz detaylar açıklanmamış olsa da, aşağıdaki önlemler alınmalıdır:
- Güncellemeleri Kontrol Edin: Cihazlarınızı ve yazılımlarınızı güncel tutun.
- Riski Azaltın: Gerekli olmayan portları kapatın ve güvenlik duvarı ayarlarınızı gözden geçirin.
- Durum Tespit Araçları Kullanın: Kullanıcı erişimlerini izleyin ve şüpheli aktiviteleri hemen bildirin.
- Kimlik Bilgilerini Değiştirin: Tüm admin ve erişim şifrelerini güncelleyin.
Sonuç
Tüm bu gelişmeler ışığında, cihazlarınızı ve sistemlerinizi gözden geçirmeniz, güncellemelerinizi eksiksiz yapmanız ve gerekli önlemleri almanız hayati önem taşımaktadır. Bilgi güvenliğinizi sağlamak adına, port kapatma ve güncelleme işlemlerini derhal gerçekleştirmeniz önerilmektedir.


