On binlerce Fortinet firewall'una sızıldığı iddiası: küresel kurumsal güvenlik için yeni darbe

TechCrunch'ın haberine göre siber suçlular, dünya çapındaki büyük şirketlerin kullandığı on binlerce Fortinet firewall'una sızdıklarını iddia ediyor. İddialar yer aldıkları yeraltı forumunda ortaya çıktı; eğer doğrulanırsa olay son yılların en büyük kurumsal güvenlik ihlallerinden biri olacak.

Fortinet, Cisco ve Palo Alto Networks ile birlikte kurumsal güvenlik duvarı pazarının en büyük üç oyuncusundan biri. FortiGate olarak bilinen donanım hatları, bankalardan üniversitelere, devlet kurumlarından yayıncı ağlara kadar geniş bir kurum yelpazesinde kullanılıyor. Şirketin son raporu küresel ölçekte 700.000'in üzerinde aktif cihaz olduğunu söylüyor.

İddianın kaynağı, yeraltı forumda kendine "Belsen Group" adını veren bir aktör. Grup, FortiOS işletim sisteminin belirli versiyonlarındaki bir güvenlik açığını kullanarak 87.000 cihazdan erişim bilgileri çıkardığını söylüyor. Yayınlanan örnek dosya, IP adresleri, yönetici kullanıcı adları ve VPN yapılandırma bilgileri içeriyor.

Fortinet, TechCrunch'a yaptığı açıklamada "raporları incelediğimizi ve etkilenen müşterilerle iletişim kurduğumuzu" söyledi. Şirket, sızıntının daha önce 2024'te düzeltilen bir CVE açığıyla bağlantılı olabileceğini, dolayısıyla güncelleme yapmamış cihazların risk altında olduğunu belirtti. Ancak güncel olduğu halde etkilenen cihazların da olup olmadığı henüz net değil.

Uzmanlar, sızıntının doğrulanması durumunda etkisinin sadece veri kaybıyla sınırlı kalmayacağını söylüyor. Firewall'lar genellikle bir kurumun iç ağına giriş noktası; ele geçirilen bir firewall, içerideki sunuculara, e-posta sistemine ve veri tabanlarına erişim için bir basamak olarak kullanılabilir. Saldırının ikinci aşaması bu nedenle çok tehlikeli.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal kurumlara FortiGate cihazlarını acilen denetleme ve şüpheli aktivite için log incelemesi yapma çağrısında bulundu. Ajans, etkilenen sürümlerin ABD federal ağında oldukça yaygın olduğunu, bu yüzden olası bir saldırı dalgasının ulusal güvenlik boyutuna sahip olabileceğini belirtti.

Güvenlik araştırmacısı Brian Krebs, blogunda "Saldırganların stratejisi giderek değişiyor; eskiden veri çalıp satıyorlardı, şimdi 'erişim satıyorlar'," dedi. Krebs, Belsen Group'un yeraltı forumda 87.000 cihaz için 2.000.000 dolar fiyat istediğini, alıcının siber casuslar, ransomware ekipleri veya devlet bağlantılı aktörler olabileceğini söyledi.

Fortinet hisseleri, ABD borsasında sızıntı haberi sonrası yüzde 7,4 değer kaybetti. Sektör analistleri, olayın şirketin uzun vadeli müşteri güvenine zarar verebileceğini söylüyor. Cisco ve Palo Alto Networks hisseleri ise pazar payı kazanım beklentisiyle artıda kapandı. Fortinet'in Mayıs ayında açıkladığı çeyrek geliri 1,68 milyar dolardı.

Olay, kurumsal müşterilerin güvenlik strateji rehberini de yeniden gözden geçirmeye zorluyor. Pek çok kurum tek bir satıcıya bağımlılığın riskini azaltmak için "multi-vendor security" stratejilerine geçiyor. Aynı şirketin firewall, antivirüs, e-posta filtresi ve son nokta korumasını tek bir yerden almanın maliyet avantajları ile riski arasındaki denge tartışılıyor.

Uzmanlar, etkilenmiş olabileceğini düşünen kurumların atması gereken anlık adımları sıralıyor: cihazları en son sürüme güncelleme, tüm yönetici parolalarını değiştirme, son üç ayın log dosyalarını incelemeleri için bağımsız analistlere açmak, VPN sertifikalarını döndürmek ve etkilenmemiş yedek konfigürasyona geri alma seçeneklerini değerlendirmek. Olayın tam ölçeği önümüzdeki günlerde belli olacak.