FortiBleed adı verilen yeni bir veri sızıntısı, dünya çapındaki kuruluşlara ait 73.000'den
fazla Fortinet ve FortiGate cihazının VPN kimlik bilgilerini ifşa etti. Güvenlik araştırmacısı
Bob Diachenko tarafından keşfedilen bu sızıntı, kullanıcı adları, e-posta adresleri ve düz
metin şifreleri barındıran geniş bir veritabanını içeriyor. Sızdırılan veriler arasında
Chevron, Samsung, Foxconn ve AT&T gibi dev şirketlerin yanı sıra çeşitli ülkelerden kamu
ve savunma sanayii kuruluşları da bulunuyor.
Araştırmalara göre, bu büyük çaplı operasyon Rusça konuşan bir tehdit grubu tarafından
gerçekleştirildi. Saldırganlar, FortiGate cihazlarına yönelik milyarlarca deneme yaptıktan
sonra elde ettikleri şifre özetlerini 45-GPU'luk bir sistemle çözerek iç ağlara ve Active
Directory ortamlarına sızmayı başardılar. Verilerin, sistemlerin yapılandırma dosyalarından
elde edildiği düşünülüyor.
Siber güvenlik uzmanları, sızıntıdaki bilgilerin doğruluğunu teyit etmiş durumda. Özellikle
yöneticilerin kullandığı uzun ve karmaşık şifrelerin bile sızıntıda yer alması, durumun
ciddiyetini artırıyor. Olaydan etkilenen cihazların büyük bir kısmının hala çevrimiçi ve dış
ağa açık olduğu belirtiliyor.
Saldırganlar, ele geçirdikleri kimlik bilgileriyle ağa sızarak doğrudan yetki yükseltme ve
yanal hareket (lateral movement) tekniklerini uygulayabilirler. Kurumların acil olarak VPN
ve yönetici şifrelerini değiştirmesi, çok faktörlü kimlik doğrulama (MFA) kullanması ve ağ
günlüklerini şüpheli hareketlere karşı incelemesi gerekmektedir. Bu adımların atılmaması,
doğrudan fidye yazılımı (ransomware) saldırılarına ve kritik veri kayıplarına yol açacaktır.

Fortinet credentials found on an exposed server