🚨FORTIBLEED; 73.000+ Fortinet Cihazı Sızdırıldı
- 2 gün önce
- 2 dakikada okunur
Siber güvenlik ekiplerinin küresel çapta alarm vermesine neden olan devasa bir sızıntı operasyonu açığa çıktı: FortiBleed.
Dünya genelinde 73.000’den fazla Fortinet/FortiGate cihazının kurumsal VPN ve yönetim paneli kimlik bilgileri (kullanıcı adları, e-postalar ve düz metin şifreler) siber suçluların eline geçti. 194 ülkede 21.000’den fazla şirketi vuran bu sızıntıda, Türkiye en çok etkilenen ilk 5 ülke arasında yer alıyor.
FortiBleed operasyonunun en dikkat çekici yönlerinden biri, saldırganların klasik parola tahmin yöntemlerinden çok daha gelişmiş teknikler kullanması oldu.
Siber suçlular internet üzerindeki erişime açık Fortinet cihazlarını tarayarak, geçmiş yıllarda çeşitli veri ihlallerinden elde edilmiş kullanıcı adı ve parola listelerini sistematik şekilde test etti. Bu kimlik bilgileri çoğunlukla bilgi hırsızı (Infostealer) zararlı yazılımlar tarafından ele geçirilen verilerden oluşuyor.
Bir cihaz üzerinde ilk erişim sağlandıktan sonra saldırganlar doğrudan kurum içindeki Active Directory ortamlarına yönelerek ağ içerisinde kalıcı erişim elde etti.
🔍 FortiBleed Hakkında Bilmeniz Gereken 3 Kritik Gerçek
Şifre Karmaşıklığı Çözüm Değil: Sızdırılan veri tabanında, kurumsal politikalara uygun olarak oluşturulmuş çok uzun ve karmaşık şifrelerin bile düz metin (plaintext) olarak yer aldığı görüldü.
Sadece Varsayılan Portlar Hedefte Değil: Saldırganlar sadece standart portları değil; gizlemek amacıyla değiştirdiğiniz 4443, 8443 ve 10443 gibi alternatif SSL VPN portlarını da agresif bir şekilde tarayarak sızdırdı.
Hedef İç Ağ (Active Directory): Ele geçirilen bu VPN yetkileri, saldırganların şirket içi ağınıza sızması ve fidye yazılımı (Ransomware) yayması için açık bir kapı anlamına geliyor.
Uzmanlar, özellikle Fortinet SSL VPN veya FortiGate cihazları kullanan kuruluşların alan adlarını gecikmeden kontrol etmelerini ve herhangi bir eşleşme bulunması halinde tüm VPN, yönetici ve servis hesaplarının parolalarını derhal değiştirmelerini öneriyor.
🚨 BT Ekiplerinin BUGÜN Alması Gereken Acil Aksiyon Planı
Sistemlerinizin güvenliğini doğrulamak adına aşağıdaki adımların hayata geçirmenizi öneriyoriliyor:
Tüm Şifreleri Sıfırlayın: admin ve super_admin başta olmak üzere, tüm VPN ve sistem yöneticisi hesaplarının şifrelerini hemen değiştirin.
MFA’i Zorunlu Kılın: Sadece şifre koruması artık yetersiz. Tüm uzak erişim noktalarında (VPN) Çok Faktörlü Kimlik Doğrulamayı (MFA) istisnasız aktif edin.
Yönetim Arayüzünü İnternete Kapatın: FortiGate web GUI erişimini genel internete kapatın. Erişimi yalnızca belirli güvenli IP adreslerine (White List) kısıtlayın.
Giriş Loglarını İnceleyin: Cihazların geçmişe dönük oturum kayıtlarını kontrol ederek, olağan dışı saatlerde veya şüpheli IP'lerden başarılı giriş denemeleri olup olmadığını analiz edin.
Kuruluşunuzun Etkilenip Etkilenmediğini Kontrol Edebilirsiniz
Hudson Rock, FortiBleed operasyonunda ele geçirilen kimlik bilgileri ve etkilenen alan adlarının sorgulanabilmesi için özel bir kontrol platformu yayınladı.Kurumlar, alan adlarını sorgulayarak:
Kuruluşlarının veri tabanında yer alıp almadığını,
Ele geçirilmiş kullanıcı hesaplarının bulunup bulunmadığını,
Fortinet cihazlarının saldırıdan etkilenip etkilenmediğini kontrol edebiliyor.
Sorgulama platformuna aşağıdaki adresten erişilebiliyor: