FortiBleed Saldırısına Genel Bakış
FortiBleed, Fortinet FortiGate cihazlarını hedef alan ve saldırganların kurbanların kimlik bilgilerini çalmayı amaçlayan gelişmiş bir siber saldırı kampanyasıdır. Bu saldırı, SOCRadar tarafından raporlanan ve FortiGate cihazlarına yerleştirilen özel izleyici yazılımlarının (sniffer) yetkisiz kimlik doğrulama verilerini toplamasını içermektedir. Saldırganlar, bu verileri kullanarak kurumsal ağlara ve hassas sistemlere erişim sağlamaktadır.
Saldırı Mekanizması
FortiBleed saldırısı, aşağıdaki adımlarla gerçekleştirilmektedir:
- Başlangıç Aşaması: Saldırganlar, FortiGate cihazlarında bulunan güvenlik açıklarını (örneğin CVE-2023-27997 gibi) kullanarak cihaza erişim sağlar.
- Özel İzleyici Kurulumu: Erişim sağlandıktan sonra, saldırganlar FortiGate üzerinde çalışan bir
sniffer(izleyici) yazılımı yerleştirir. Bu izleyici, HTTP/HTTPS trafiğini dinleyerek kimlik doğrulama verilerini (örneğin oturum çerezleri, kullanıcı adları ve parolalar) toplar. - Veri Toplama ve Analiz: Toplanan kimlik bilgileri, saldırganların kontrolündeki sunuculara aktarılır ve analiz edilir. Bu veriler, saldırganların kurumsal ağa sızmasını ve daha fazla sistemde yetki yükseltmesi yapmasını sağlar.
- İkinci Aşama Saldırıları: Elde edilen kimlik bilgileriyle, saldırganlar VPN, e-posta sistemleri veya diğer kritik uygulamalara erişim sağlayabilir. Bu da veri sızıntısı, fidye yazılımı saldırıları veya diğer zararlı faaliyetlere yol açabilir.
Etkilenen Sistemler ve Riskler
FortiBleed saldırısından en çok etkilenen sistemler şunlardır:
- Fortinet FortiGate Güvenlik Duvarları: Bu cihazlar, kurumsal ağların güvenliğini sağlamak için yaygın olarak kullanılmaktadır. Saldırganlar, bu cihazlardaki güvenlik açıklarından faydalanarak izleyici yazılımlarını yerleştirebilir.
- Kurumsal Ağlar: FortiGate cihazlarına erişim sağlandıktan sonra, saldırganlar kurumsal ağın diğer bileşenlerine (örneğin sunucular, veri tabanları) de erişim sağlayabilir.
- Kullanıcı Kimlik Bilgileri: Toplanan kimlik bilgileri, saldırganların diğer sistemlere erişim sağlaması için kullanılabilir. Bu da kurumsal verilerin tehlikeye girmesine yol açar.
Saldırı Belirtileri ve Tespit Yöntemleri
FortiBleed saldırısının tespit edilmesi zor olabilir, ancak aşağıdaki belirtiler şüphe uyandırabilir:
- Anormal Ağ Trafiği: FortiGate cihazında olağandışı ağ trafiği gözlemlenmesi (örneğin, yüksek miktarda veri aktarımı).
- Yeni veya Tanımlanmamış İşlemler: FortiGate cihazında çalışan yeni veya tanımlanmamış işlemlerin varlığı.
- Kimlik Doğrulama Sorunları: Kullanıcıların kimlik doğrulama sorunları yaşaması (örneğin, beklenmedik oturum kapanmaları).
- Güvenlik Duvarı Loglarında Anormallikler: FortiGate loglarında, bilinmeyen IP adreslerinden gelen isteklerin varlığı.
FortiBleed Saldırısından Korunma Yöntemleri
Aşağıdaki adımlar, FortiBleed saldırısından korunmak için uygulanabilir:
- Güvenlik Yamalarının Uygulanması:
Fortinet, FortiGate cihazları için çeşitli güvenlik yamaları yayınlamaktadır. Bu yamaların en kısa sürede uygulanması, saldırganların cihaza erişimini engelleyebilir. Örneğin:
execute update-now get system statusNot: Yama uygulamadan önce, cihazın yedeklenmesi önemlidir.
- FortiGate Cihazlarının Güçlendirilmesi:
FortiGate cihazlarının varsayılan ayarları, saldırganların kolayca erişim sağlamasına olanak tanır. Aşağıdaki adımlar, cihazın güvenliğini artırabilir:
- Varsayılan kullanıcı adı ve parolaların değiştirilmesi.
- Yalnızca gerekli portların açık bırakılması.
- İki faktörlü kimlik doğrulamanın (2FA) etkinleştirilmesi.
config system admin edit
