Bilgisayar Korsanları 15.000’den Fazla Benzersiz Fortigate Güvenlik Duvarı Yapılandırmasını Yayımladı

   Ocak 16, 2025  Posted in CyberSecurityNews


Fortigate Güvenlik Duvarı Yapılandırmaları Sızdı

“Belsen Grubu” olarak bilinen bir bilgisayar korsanlığı topluluğu, 15.000’den fazla benzersiz FortiGate güvenlik duvarı yapılandırmasını çevrimiçi olarak yayınladı.

Ekim 2022’de Fortinet’in sistemlerindeki sıfır gün güvenlik açığından yararlanılarak elde edildiği bildirilen veri dökümü, kullanıcı adları, şifreler (bazıları düz metin), cihaz yönetimi sertifikaları ve tam güvenlik duvarı kuralları gibi hassas bilgileri içeriyor.

Sızan veriler karanlık bir web forumunda ücretsiz olarak kullanıma sunuldu ve gerçek gibi görünüyor. Dökümdeki her klasör ülkeye göre düzenlenir ve IP adreslerine göre adlandırılan alt klasörler içerir.

15.000 benzersiz çevrimiçi FortiGate güvenlik duvarı (Kaynak: Kevin Beaumont)

Bu klasörler iki kritik dosyayı barındırır: config.confFortiGate cihazının tam konfigürasyonunu barındıran ve vpn-users.txtVPN kimlik bilgilerini düz metin olarak listeliyor.

Siber güvenlik araştırmacısı Kevin Beaumont, internete bağlı cihazlara yönelik bir arama motoru olan Shodan’da listelenen cihazlarla verilerdeki seri numaralarını çapraz referanslayarak sızıntının meşruiyetini doğruladı.

Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free

Beaumont ayrıca olaya müdahale çalışmaları sırasında analiz ettiği, güvenliği ihlal edilmiş cihazlardaki ayrıntılarla dökümdeki kullanıcı adları ve şifrelerin eşleştiğini de doğruladı.

IP Adresi Sızdırıldı (Kaynak: Kevin Beaumont)

Belsen Grubu bu ihlalin sorumluluğunu üstlendi ve bunu ilk büyük operasyonu olarak nitelendirdi. Duyuruları, kaygı verici bir şekilde “2025’in dünya için şanslı bir yıl olacağını” belirtti ve bunun başka siber kampanyaların da takip edebileceğini öne sürdü.

CVE-2022-40684’ün Kullanımı

İhlalin kökeni, Fortinet’in FortiOS, FortiProxy ve FortiSwitchManager ürünlerindeki kritik bir kimlik doğrulama atlama güvenlik açığı olan CVE-2022-40684’e kadar uzanıyor.

Bu kusur, saldırganların özel hazırlanmış HTTP veya HTTPS isteklerini kullanarak yönetici kimlik doğrulamasını atlamasına olanak tanıdı. Güvenlik açığı ilk olarak Ekim 2022’de Fortinet tarafından açıklandı ve 9,8 CVSS puanına sahipti, bu da onu oldukça kritik hale getiriyor.

O dönemde Fortinet, kullanıcılarına, yazılımlarının güvenli sürümlerine yükseltme yaparak sistemlerine hemen yama yapmaları çağrısında bulunmuştu. Ancak görünen o ki saldırganlar, pek çok kuruluş yamayı uygulayamadan bu kusurdan yararlandı.

Kritik Fortinet kimlik doğrulama atlama güvenlik açığı CVE-2022-40684’ten etkilenen donanım yazılımı sürümleri aşağıdakileri içerir:

  1. FortiOS:
    • Sürüm 7.0.0 ila 7.0.6
    • Sürüm 7.2.0’dan 7.2.1’e kadar
  2. FortiProxy:
    • Sürüm 7.0.0 ila 7.0.6
    • Sürüm 7.2.0
  3. FortiSwitchManager:

Önerilen Firmware Güncellemeleri

Güvenlik açığını azaltmak için Fortinet aşağıdaki güvenli sürümlere yükseltme yapmanızı önerir:

  • FortiOS: Sürüm 7.2.2 veya üstü ve sürüm 7.0.7 veya üstü.
  • FortiProxy: Versiyon 7.2.1 veya üzeri ve versiyon 7.0.7 veya üzeri.
  • FortiSwitchManager: Sürüm 7.2.1 veya üzeri ve sürüm 7.0.1 veya üzeri

Sızan veriler, yapılandırmaların 2022’nin sonlarında sızdırıldığını, ancak ancak iki yıl sonra kamuoyuna açıklandığını gösteriyor.

Bu yapılandırmaların yayınlanması, etkilenen kuruluşlar için ciddi riskler oluşturur:

  • Kimlik Bilgilerinin Açıklanması: Düz metin VPN kimlik bilgileri ve kullanıcı adları, saldırganların ağlara yetkisiz erişim elde etmesine olanak tanıyabilir.
  • Güvenlik Duvarı Kuralları: Ayrıntılı güvenlik duvarı kuralları, saldırganlara ağ mimarisi ve güvenlik politikaları hakkında bilgi sağlar.
  • Cihaz Sertifikaları: Sızan sertifikalar ortadaki adam saldırılarını veya diğer kimliğe bürünme biçimlerini kolaylaştırabilir.
  • Kalıcı Tehditler: 2022’de CVE-2022-40684’e yama uygulayan kuruluşlar bile, yapılandırmalarının yama uygulanmadan önce çalınması durumunda hâlâ savunmasız olabilir.

Güvenlik uzmanları, bu seviyedeki bir açığa çıkmanın dünya çapında hem kamu hem de özel sektörde yaygın istismara yol açabileceği konusunda uyarıyor.

Kevin Beaumont, kuruluşların etkilenip etkilenmediğini belirleyebilmeleri için etkilenen IP adreslerinin bir listesini yayınlamayı planladığını belirtti. Bu arada siber güvenlik uzmanları proaktif önlemlerin önemini vurguluyor çünkü saldırganlar muhtemelen bu veri hazinesinden zaten yararlanıyor.

Fortinet ürünlerini kullanan kuruluşlar, bu ihlalden kaynaklanan riskleri azaltmak için hızlı hareket etmeli ve açığa çıkan yapılandırmaları hedef alan gelecekteki istismarlara karşı tetikte kalmalıdır.

Bu Haberi İlginç Bulun! Anında Güncellemeler Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin



Source link