FortiBleed: 73.000+ Fortinet Cihazı Sızdırılan Şifrelerle Nasıl Tehlikeye Atıldı?

Kullanılan Yöntem: Zero-Day Yok, Sadece Zayıf Güvenlik

Adı Heartbleed açığını anımsatsa da FortiBleed'in bir yazılım güvenlik açığıyla hiçbir ilgisi yok. TechCrunch, SOCRadar, Hudson Rock ve Arctic Wolf dahil olmak üzere birden fazla güvenlik firması, bilinmeyen güvenlik açıklarının (zero-day) kullanılmadığını doğruladı .

Bunun yerine saldırganlar iki aşamalı bir tedarik zinciri yaklaşımı izledi:

• Aşama 1: Bilgi hırsızı yazılımlardan kimlik bilgilerini toplama. Fortinet yönetici arayüzleri ve VPN portalları için kimlik bilgileri, ilk olarak bilgi hırsızı (infostealer) yazılımı bulaşmış çalışan ve yönetici bilgisayarlarından çalındı .
• Aşama 2: Açığa çıkmış yapılandırmalardan şifre hash'lerini kırma. Saldırganlar ilk erişimi elde ettikten sonra, internete açık FortiGate cihazlarından yapılandırma dosyalarını çıkardı ve depolanan SSL VPN şifre hash'lerini 45 GPU'luk bir küme kullanarak kırdı. Bu süreçte zayıf veya değiştirilmemiş şifrelerden faydalandılar .

SOCRadar, saldırganların internete açık FortiGate cihazlarından en az 30.791 doğrulanmış çalışan kimlik bilgisi topladığını doğruladı . Arctic Wolf'un bağımsız analizi de tehlikeye atılan cihaz sayısının 30.000 ila 75.000 arasında olduğu yönündeki tahminleri doğruladı .

Öne Çıkan Kurbanlar

Birden fazla raporda adı geçen doğrulanmış kurbanlar arasında Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens ve PwC ile en az 15 ülkedeki devlet kurumları yer alıyor . Reuters, tehlikeye atılan cihazların çoğunluğunun Amerika Birleşik Devletleri, Hindistan ve Tayvan'da bulunduğunu bildirdi .

Analiz edilen verilere göre en sert darbe alan sektörler şunlar oldu:

• BT hizmetleri (yönetilen hizmet sağlayıcılar, bulut operasyonları)
• İnşaat malzemeleri (büyük uluslararası tedarikçiler)
• Telekomünikasyon (birinci kademe taşıyıcılar ve ISS'ler)

Birden fazla kaynak bu üç sektörü en çok etkilenen dikeyler olarak tanımlıyor .

Eş Zamanlı Saldırılar

FortiBleed ile eş zamanlı olarak araştırmacılar, 160.000'den fazla internete açık MSSQL sunucusuna karşı 2,1 milyar brute-force girişiminde bulunulduğunu gözlemledi. Bu saldırıların aynı tehdit kümesi tarafından gerçekleştirildiği düşünülüyor .

Saldırının Kaynağı

Hem SOCRadar hem de Hudson Rock, kampanyayı Rusça konuşan çok operatörlü bir tehdit grubuna atfediyor . Saldırganlar, ele geçirilen cihazlarda cron görevleri, telemetri ve canlı kimlik bilgisi toplama döngüleri dahil olmak üzere aktif bir arka uç altyapısı sürdürüyordu. Bu durum, tek seferlik bir veri toplama operasyonundan ziyade karmaşık ve devam eden bir operasyona işaret ediyor .

Önerilen Önlemler

Hudson Rock, Arctic Wolf ve Fortinet dahil olmak üzere güvenlik firmaları, Fortinet cihazı kullanan tüm kuruluşlara aşağıdaki acil önlemleri almalarını tavsiye ediyor:

• Tüm FortiGate yönetici ve SSL VPN hesapları için acil şifre değişikliği yapın .
• Her VPN girişinde çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılın. Bu, kimlik bilgisi doldurma saldırılarına karşı en etkili kontroldür .
• Cihaz günlüklerini yetkisiz yapılandırma dışa aktarımları, bilinmeyen cron görevleri ve olağandışı VPN oturumlarına karşı denetleyin .
• Yönetim arayüzü erişimini yalnızca güvenilir IP adresleriyle kısıtlayın; yönetici arayüzünü veya SSH'yi asla genel internete açık bırakmayın .

Ücretsiz Sorgulama Portalı

Hudson Rock, kuruluşların kendi alan adlarını 73.932 cihazlık kimlik bilgisi dökümüne karşı sorgulamasına olanak tanıyan ücretsiz bir sorgulama portalı başlattı. Bu araç, 17-18 Haziran 2026'da geniş çapta duyuruldu .