Geçmişte ortaya çıkan bir güvenlik açığı nedeniyle Fortinet cihazlarına ait 15.474 yapılandırma ve VPN kimlik bilgileri Dark Web’de paylaşıldı. Bu veri seti, ülkeler ve IP adreslerine göre düzenlenmiş şekilde ücretsiz olarak indirilebiliyor. Veri sızıntısının kökeninde, 2022 yılında tespit edilen ve cihazları saldırılara açık hale getiren kritik bir güvenlik açığı yatıyor.
Sızıntının kaynağı ve etkileri
Fortinet, Ocak 2025’te CVE-2024-55591 numaralı yeni bir kimlik doğrulama atlama açığını duyurdu. Ancak bu sızıntı, daha önceki bir açık olan CVE-2022-40684 ile ilişkilendiriliyor. Bu açık, özel hazırlanmış HTTP istekleri ile cihazlara yetkisiz erişim sağlanmasına olanak tanıyordu. Tehdit aktörleri, bu açığı kullanarak cihazlara ait yapılandırma verilerini topladı.
CloudSEK araştırmacılarına göre, bu veriler 2022’de sıfır gün açıkları kullanılarak elde edildi ve iki yıl boyunca tehdit aktörleri tarafından satıldı veya kullanıldı. Veriler, artık işlevselliğini yitirdiği düşünüldüğünde Dark Web’de ücretsiz olarak paylaşıldı.
Sızdırılan veriler iki ana klasör halinde yayımlandı:
•Config.conf: Cihazların IP adresleri, kullanıcı adları, şifreler, yönetim sertifikaları ve tüm güvenlik duvarı kurallarını içeriyor.
•Vpn-password.txt: SSL-VPN kimlik bilgilerini barındırıyor. Bu bilgiler daha eski bir açık olan CVE-2018-13379 üzerinden elde edildi.
Her ne kadar bu verilerin çoğu eski olsa da, güvenlik uzmanları hala önemli riskler içerdiğini belirtiyor. Güvenlik duvarı kuralları gibi detaylar, kurumların ağ yapılarını ortaya çıkarabilir. Ayrıca birçok organizasyon kullanıcı adlarını ve şifrelerini düzenli olarak değiştirmediği için eski kimlik bilgileri hala geçerli olabiliyor.
Sızıntıyı gerçekleştiren ve “Belsen Group” adını kullanan tehdit aktörü, verileri BreachForums platformunda paylaştı. Grup, verilerin yalnızca bir kez kullanılmadığını, ticari veya operasyonel amaçlarla da kullanıldığını belirtti. İlginç bir şekilde, verilerde İran’dan cihazlara rastlanmaması, grubun coğrafi hedefleme stratejileri konusunda soru işaretleri yarattı.
Fortinet, 16 Ocak’ta yaptığı açıklamada, düzenli güvenlik önlemleri alan kurumların bu sızıntıdan etkilenme riskinin düşük olduğunu belirtti. Şirket, güvenlik kimlik bilgilerinin düzenli olarak yenilenmesini ve eski cihazlar için önerilen yamaların uygulanmasını tavsiye etti.
Bu olay, siber güvenlik önlemlerinin düzenli olarak gözden geçirilmesinin önemini bir kez daha ortaya koydu. Özellikle eski güvenlik açıklarından kaynaklanabilecek risklere karşı dikkatli olunması gerektiği, bu tür sızıntıların en büyük derslerinden biri olarak değerlendiriliyor.
Bu tür olaylar, yalnızca yabancı tehdit aktörlerinden gelen risklere değil, aynı zamanda eski güvenlik açıklarına karşı savunmasız sistemlere de dikkat çekiyor. Siber güvenlik uzmanları, kapsamlı bir güvenlik stratejisi ile hem yerel hem de uluslararası tehditlere karşı hazırlıklı olunması gerektiğini vurguluyor.
Fortinet sızıntısı, güvenlik açıklarının etkilerinin uzun yıllar sürebileceğini ve düzenli bakım ile güncellemelerin önemini bir kez daha hatırlatıyor. Şirketler, güvenlik uygulamalarını sıkılaştırarak ve düzenli testlerle bu tür tehditlere karşı daha dirençli hale gelebilir.
