Siber güvenlik dünyasında dikkat çeken yeni bir iddia, yaygın olarak kullanılan güvenlik çözümlerinden biri olan Fortinet cihazlarının büyük ölçekli bir saldırı kampanyasının hedefi olduğunu öne sürüyor. “FortiBleed” adıyla anılan bu operasyonun, yüz binlerce cihazı ve milyonlarca kimlik doğrulama girişimini kapsadığı iddia ediliyor.
Ortaya atılan bilgilere göre yaklaşık 320.000 FortiGate güvenlik duvarı cihazı hedef alınırken, saldırganların yönetici panelleri ve SSL VPN arayüzlerine karşı daha önce sızdırılmış kimlik bilgilerini kullanarak erişim denemeleri yaptığı belirtiliyor. Bu süreçte yaklaşık 75.000 başarılı kimlik doğrulama elde edildiği öne sürülüyor.
İddialar ilk olarak araştırmacı Volodymyr “Bob” Diachenko tarafından gündeme getirilirken, sızıntı verilerinin Hudson Rock ve SOCRadar tarafından analiz edildiği ifade ediliyor. Söz konusu analizlerde, saldırıların yalnızca basit giriş denemeleriyle sınırlı kalmadığı, aynı zamanda ele geçirilen sistemlerin yeni veri toplayan birer “dinleme noktası”na dönüştürüldüğü iddia ediliyor.
Siber güvenlik raporlarında yer alan açıklamalara göre saldırı yöntemi, daha önce farklı veri ihlallerinden elde edilen kullanıcı adı ve şifrelerin otomatik sistemlerle test edilmesine dayanıyor. Başarılı girişlerin ardından bu sistemlerin ağ içinde daha fazla kimlik bilgisi toplayabildiği ve böylece zincirleme bir ihlal döngüsü oluştuğu öne sürülüyor.
İddialarda ayrıca, yaklaşık 160.000 MSSQL sunucusuna yönelik milyonlarca brute-force denemesi yapıldığı ve ele geçirilen SSL VPN oturum verilerinin yüksek işlem gücüne sahip sistemlerde kırılmaya çalışıldığı da yer alıyor. Bu süreçte iç ağlara geçiş yapılabildiği ve bazı bölgelerde tam ağ ihlallerinin doğrulandığı belirtiliyor.
Hedef alınan kurumlar arasında Samsung Electronics, Oracle, Spotify ve Sony Group gibi küresel ölçekte faaliyet gösteren şirketlerin de bulunduğu iddia ediliyor. Ancak bu kurumların doğrudan etkilenme düzeyiyle ilgili detaylar net olarak doğrulanmış değil.
Uzmanlar, bu tür senaryolarda en kritik riskin zayıf veya tekrar kullanılan şifreler olduğunu, özellikle VPN ve yönetim panellerinde çok faktörlü kimlik doğrulamanın (MFA) zorunlu hale getirilmesinin büyük önem taşıdığını vurguluyor. Ayrıca ağ segmentasyonu, erişim kısıtlamaları ve log analizlerinin sürekli yapılması gerektiği ifade ediliyor.
Öte yandan, bu iddiaların henüz tüm boyutlarıyla bağımsız şekilde doğrulanmadığı ve farklı güvenlik araştırmacılarının analiz süreçlerinin devam ettiği de belirtiliyor. Bu nedenle olay, kesin bir “küresel ihlal” olarak değil, doğrulama süreci devam eden büyük ölçekli bir siber güvenlik iddiası olarak değerlendiriliyor.
Ortaya atılan bilgilere göre yaklaşık 320.000 FortiGate güvenlik duvarı cihazı hedef alınırken, saldırganların yönetici panelleri ve SSL VPN arayüzlerine karşı daha önce sızdırılmış kimlik bilgilerini kullanarak erişim denemeleri yaptığı belirtiliyor. Bu süreçte yaklaşık 75.000 başarılı kimlik doğrulama elde edildiği öne sürülüyor.
İddialar ilk olarak araştırmacı Volodymyr “Bob” Diachenko tarafından gündeme getirilirken, sızıntı verilerinin Hudson Rock ve SOCRadar tarafından analiz edildiği ifade ediliyor. Söz konusu analizlerde, saldırıların yalnızca basit giriş denemeleriyle sınırlı kalmadığı, aynı zamanda ele geçirilen sistemlerin yeni veri toplayan birer “dinleme noktası”na dönüştürüldüğü iddia ediliyor.
Siber güvenlik raporlarında yer alan açıklamalara göre saldırı yöntemi, daha önce farklı veri ihlallerinden elde edilen kullanıcı adı ve şifrelerin otomatik sistemlerle test edilmesine dayanıyor. Başarılı girişlerin ardından bu sistemlerin ağ içinde daha fazla kimlik bilgisi toplayabildiği ve böylece zincirleme bir ihlal döngüsü oluştuğu öne sürülüyor.
İddialarda ayrıca, yaklaşık 160.000 MSSQL sunucusuna yönelik milyonlarca brute-force denemesi yapıldığı ve ele geçirilen SSL VPN oturum verilerinin yüksek işlem gücüne sahip sistemlerde kırılmaya çalışıldığı da yer alıyor. Bu süreçte iç ağlara geçiş yapılabildiği ve bazı bölgelerde tam ağ ihlallerinin doğrulandığı belirtiliyor.
Hedef alınan kurumlar arasında Samsung Electronics, Oracle, Spotify ve Sony Group gibi küresel ölçekte faaliyet gösteren şirketlerin de bulunduğu iddia ediliyor. Ancak bu kurumların doğrudan etkilenme düzeyiyle ilgili detaylar net olarak doğrulanmış değil.
Uzmanlar, bu tür senaryolarda en kritik riskin zayıf veya tekrar kullanılan şifreler olduğunu, özellikle VPN ve yönetim panellerinde çok faktörlü kimlik doğrulamanın (MFA) zorunlu hale getirilmesinin büyük önem taşıdığını vurguluyor. Ayrıca ağ segmentasyonu, erişim kısıtlamaları ve log analizlerinin sürekli yapılması gerektiği ifade ediliyor.
Öte yandan, bu iddiaların henüz tüm boyutlarıyla bağımsız şekilde doğrulanmadığı ve farklı güvenlik araştırmacılarının analiz süreçlerinin devam ettiği de belirtiliyor. Bu nedenle olay, kesin bir “küresel ihlal” olarak değil, doğrulama süreci devam eden büyük ölçekli bir siber güvenlik iddiası olarak değerlendiriliyor.
