Son Gelişmeler: Palo Alto GlobalProtect Portallarına Yönelik Uzmanlık
Günümüzde siber güvenlik, şirketlerin en hassas konularından biri haline geldi. Son günlerde Palo Alto GlobalProtect portallarına yapılan siber saldırılar, bu konunun önemini bir kez daha ortaya koyuyor. Söz konusu saldırı, Aralık 2 tarihinde başlamış ve 3xK GmbH adlı Alman IT şirketinin altyapısı üzerinden 7.000’in üzerinde IP adresinden gerçekleştirilmiştir.
Saldırıların Yapısı ve Hedefleri
GreyNoise tarafından yayımlanan bir rapora göre, saldırganlar ilk olarak GlobalProtect portallarına brute-force (kaba kuvvet) giriş denemeleri ile başlamış, ardından SonicWall SonicOS API uç noktalarına yönelmişlerdir. GlobalProtect, Palo Alto Networks’ün VPN ve uzaktan erişim bileşeni olup, büyük şirketler, devlet kurumları ve hizmet sağlayıcıları tarafından kullanılmaktadır.
Bu saldırının başlangıçta belirli bir hedef kitleye yönelik olduğu ve 9 milyonun üzerinde spoof edilemez HTTP oturumu ürettiği belirtiliyor.
Kullanılan Teknolojiler ve Stratejiler
Client Fingerprints: Araştırmacılar, saldırganların önceki tarama faaliyetlerinde görülen üç farklı client fingerprint (istemci parmak izi) kullanarak bu faaliyetleri yürüttüğünü tespit etmiştir. Özellikle, saldırganların 2.3 milyon tarama oturumu açıldığı gözlemlenmiştir. Bu durumu, Almanya kaynaklı IP adreslerinin %62’sinin saldırıya katıldığını gösteriyor.
SonicWall API Uç Noktaları: Saldırganların SonicWall cihazlarına yönelik tarama faaliyetleri, genellikle yapılandırma hataları veya açıklar bulmak amacıyla yapılmaktadır. Bu tür taramalar, saldırganların gelecekteki güvenlik açıklarını keşfetmek için bir hazırlık süreci olarak görülmektedir.
Güvenlik Önlemleri ve Tavsiyeler
Siber güvenlik uzmanları, bu tür bir aktivitenin önüne geçmek için bir dizi önlem almaktadır. Bunlar arasında:
- IP Takibi ve Engelleme: Saldırgan IP adreslerinin sürekli izlenmesi ve bu IP’lerin engellenmesi önerilmektedir.
- Abartılı Giriş Denemeleri: Anormal hızda veya tekrarlayan giriş denemeleri için kimlik doğrulama yüzeylerinin sürekli izlenmesi.
- Dinamik Bloklama: Statik itibar listeleri yerine dinamik, bağlama duyarlı bloklama sistemlerinin kullanılması.
Palo Alto Networks, yaptığı açıklamada bu tarama aktivitelerinin “yazılım zafiyetleri” ile değil, “kimlik bilgisi tabanlı saldırılar” ile gerçekleştirildiğini belirtmiştir. Bunun yanı sıra, birçok saldırının Multi-Factor Authentication (MFA) gibi kimlik doğrulama yöntemleri vasıtasıyla engellenmesi gerektiğini vurgulamaktadır.
Sonuç
Palo Alto GlobalProtect ve SonicWall hedefli saldırılar, siber güvenliğin ne denli kritik bir konu olduğunu bizlere bir kez daha hatırlatmaktadır. Kurumlar, bu tür saldırılara karşı koruma stratejilerini güncelleyerek, olası tehditlere karşı daha dayanıklı hale gelmelidir. Unutulmamalıdır ki, güçlü bir siber güvenlik altyapısı oluşturmak, sadece bir IT sorunu olmaktan öte, tüm şirketin sağlığını ve sürdürülebilirliğini etkileyen bir konudur.
