Önemli Çıkarımlar:
Kapsamlı bir kimlik bilgisi toplama kampanyası, 194 ülkedeki 73.000'den fazla Fortinet güvenlik duvarı ve VPN ağ geçidi URL'sini ele geçirerek saldırganlara dünyanın en büyük işletmelerinden bazılarına kalıcı erişim sağladı.
Siber güvenlik firmaları SOCRadar ve Hudson Rock'ın raporlarına göre, siber suçlılar Foxconn, Samsung, Siemens, Lenovo, Oracle, PwC, Accenture ve Comcast gibi şirketler tarafından kullanılan on binlerce Fortinet cihazını sistematik olarak ihlal etti. FortiBleed olarak adlandırılan kampanya, açıktaki Fortinet yönetim ve VPN arayüzlerine karşı sıfırıncı gün açıklarına değil, kimlik bilgisi yeniden kullanımına ve şifre püskürtmeye dayanıyor.
"Saldırganlar, internette Fortinet cihazları taraması yapıyor, her birine karşı seçilmiş bir bilinen şifre listesi deniyor ve her başarılı girişi kaydediyor," dedi SOCRadar, 16 Haziran'da yayınlanan bir raporda. "Bir cihaz ele geçirildiğinde, bunu bir dinleme noktası olarak kullanıyor, geçen trafiği izliyor ve akış sırasında gelen ek kimlik bilgilerini topluyorlar."
SOCRadar, devlet, telekomünikasyon, sağlık, eğitim, finansal hizmetler ve kritik altyapı sektörlerini kapsayan 21.108 benzersiz IP adresi ve 8.316 benzersiz alan adına yayılan 30.791'den fazla ele geçirilmiş cihaz tespit etti. Hudson Rock'ın analizi, güvenlik araştırmacısı Volodymyr Diachenko tarafından ilk olarak işaretlenen bir veri kümesine dayanarak bu rakamı 73.932 benzersiz Fortinet URL'si olarak belirledi. Saldırganlar, 160.000 MSSQL sunucusuna karşı 2,1 milyar kaba kuvvet girişimi başlatırken aynı anda 320.000'den fazla FortiGate hedefine karşı tahmini 1,16 milyar kimlik bilgisi tabanlı girişim gerçekleştirdi.
Operasyonun teknik karmaşıklığı, basit kimlik bilgisi doldurmanın ötesine geçiyor. Hudson Rock'a göre, bir cihazın içine girdikten sonra saldırganlar, SSL VPN kimlik doğrulama karmalarını ele geçiriyor ve bunları Hashtopolis aracılığıyla yönetilen özel bir 45 GPU'lu küme kullanarak çevrimdışı olarak kırıyor. Ele geçirilen cihazlar daha sonra, geçen trafikten ek kimlik bilgileri toplayan dinleme noktaları olarak hizmet veriyor ve yetkisiz erişimin kendi kendini güçlendiren bir döngüsünü oluşturuyor. Hindistan ve ABD, tespit edilen tüm kimlik bilgisi ihlallerinin yaklaşık üçte birini oluştururken, 5.600'den fazla cihazla en büyük darbeyi telekomünikasyon alırken, devlet kurumları 111 alan adında 591 ele geçirilmiş sistemle temsil edildi.
Kendi kendini idame ettiren bir saldırı makinesi
Saldırganlar, araştırmacılara altyapılarına ve kurban veritabanına görünürlük sağlayan, açıkta kalmış bir operasyonel sunucu bıraktı. SOCRadar, teknik kanıtların Rusça konuşan tehdit aktörlerine işaret ettiğini ve kurban seçiminin "NATO üyesi ülkelerdeki kuruluşlara ağırlıklı olarak yöneldiğini" belirtti. Kurtarılan veriler arasında, bir savunma sanayii VPN uç noktasına ait gibi görünen kimlik bilgileri de vardı; bu da amaçların tamamen maddi kazancın ötesine geçtiğini gösteriyor.
Kampanyanın en çarpıcı özelliği, sahip olmadığı şeydir: istismar edilmiş herhangi bir Fortinet güvenlik açığı. "Sıfırıncı gün yok, istismar yok, gerçek bir 'kanama' yok," dedi Secure.com'un mühendislik başkanı Waseem Ahmed. "İsmine rağmen, bu bir güvenlik açığı değil, daha önceki Fortinet ihlallerinde sızdırılan ve onları değiştirme zahmetine girmeyen kuruluşlara geri ateşlenen bir yığın kimlik bilgisi."
Ayrıca, güvenlik firması Defused, Haziran ayında tuzak sistemlerinde görünmeye başlayan saldırılarda, yakın zamanda yamalanan üç Fortinet FortiSandbox güvenlik açığının (CVE-2026-39808, CVE-2026-39813 ve CVE-2026-25089) aktif olarak istismar edildiğini gözlemledi. İlk ikisi kritik olarak derecelendirildi ve Nisan ayında yamalandı; üçüncüsü ise Fortinet'in Haziran Yama Salı güncellemesinde ele alındı. Defused, CVE-2026-25089 için kullanılan istismarın yapay zeka kullanılarak oluşturulmuş gibi göründüğünü ve ilk gözlemlendiğinde başlangıçta çalışmadığını belirtti.
Yatırımcı açısından etkileri
FortiBleed kampanyasının boyutu, şirketin ürün güvenlik duruşu ve müşteri güveni hakkında soru işaretleri yaratırken Fortinet hisseleri rüzgara karşı duruyor. SOCRadar'a göre, yıllık geliri 1 milyar doların üzerinde olan kurumsal organizasyonlar, etkilenen cihazların yüzde 20'sinden fazlasını oluşturdu - tam olarak Fortinet'in yüksek marjlı yinelenen gelirini sağlayan müşteri tabanı. Şirketin güvenlik duvarları ve VPN ağ geçitleri, küresel olarak en yaygın kullanılan ağ güvenlik cihazları arasında yer alıyor ve bu da onları kalıcı bir hedef haline getiriyor. Hudson Rock, kuruluşların alan adlarının ele geçirilen veri kümesinde görünüp görünmediğini kontrol etmeleri için bir doğrulama portalı başlatırken, SOCRadar etkilenen şirketlere "ağ çevrenizi zaten ele geçirilmiş olarak kabul edin ve derhal harekete geçin" çağrısında bulundu.
Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi niteliği taşımaz.
