Giriş
U.S. Cybersecurity and Infrastructure Security Agency (CISA), FortiGate cihazları kullanan Fortinet müşterilerini, devam eden kötü niyetli faaliyetlere karşı güvenlik önlemleri almaya çağırdı. Rusça konuşan tehdit aktörleri tarafından gerçekleştirilen bu kampanya, “FortiBleed” adıyla anılmakta ve etkilenmiş cihaz sayısı 86,644 olarak tespit edilmiştir.
Saldırı Nasıl Çalışıyor?
Bu saldırı, internet üzerinden Fortinet uzaktan giriş noktalarını tarayan tehdit aktörleri tarafından gerçekleştirilmektedir. İki aşamadan oluşan tamamen otomatik bir yaklaşım benimsenmiştir:
- Tehdit aktörü, yayımlanmış olan Fortinet şifreleri içeren özelleştirilmiş bir listeyi cihazlara karşı dener.
- Erişim sağladıktan sonra, cihazlar üzerinden geçen ağ trafiğini pasif olarak izleyerek ek kimlik bilgileri toplar; bu bilgiler daha fazla cihazın ele geçirilmesi için kullanılmaktadır.
Bu metodoloji, büyük ölçekli bir saldırının nasıl pek çok sektörü etkileyebileceğini gösterir.
Etkilenen Sistemler
CISA’nın verilerine göre, saldırıdan etkilenen başlıca sektöre sahip olan alanlar:
- Telekom
- Devlet
- Eğitim
En çok etki alan ülkeler ise Hindistan, ABD, Meksika, Kolombiya ve Tayland olarak sıralanmaktadır. Bunun yanında, kullanılan kimlik bilgileri genelde default hesaplar ve gömülü sistem hesapları olup, bunlar toplamda %63.3’lük bir orana sahiptir.
Çözüm ve Korunma
CISA, kullanıcıların alması gereken önlemlerle ilgili şu tavsiyeleri sunmaktadır:
- Tüm aktif SSL VPN ve yönetici oturumlarını sonlandırın, tüm Fortinet VPN ve yönetici şifrelerini sıfırlayın, özellikle internetle bağlantılı sistemlerde güçlü şifre politikalarını uygulayın.
- Yönetici kimlik bilgilerini depolamak için PBKDF2 algoritmasını kullanın ve daha zayıf eski hash’leri kaldırın.
- Güvenlik duvarı, VPN, kimlik doğrulama ve alan denetleyici günlüklerini inceleyerek şüpheli hareketlerin izini sürün.
- Tüm dış bağlantılarda ve yönetici arayüzlerinde phishing’e dayanıklı çok faktörlü kimlik doğrulamasını (MFA) etkinleştirin.
- Saldırı yüzeyini azaltarak yönetimi kısıtlayın.
FortiBleed olayı, dünya genelinde 194 ülke çapında önemli siber güvenlik açıklarını gözler önüne sermektedir.
Sonuç
Bu tür siber tehditlere karşı şirketlerin, güvenlik açıklarını önlemek amacıyla acilen güncellemeler yapmaları ve zayıf şifre politikalarını gözden geçirmeleri gerekmektedir. Güçlü şifreler belirlenmeli, eski şifreler mutlaka değiştirilmelidir. Ayrıca, çok faktörlü kimlik doğrulama (MFA) özelliği etkinleştirilmelidir. Mevcut güvenlik prosedürlerinizin yeterli olduğundan emin olun ve dışarıdan gelen tüm saldırılara karşı hazırlığınızı artırın.
