FortiGate Güvenlik Açığı: Siber Suçlular 110 Milyon Kimliği Nasıl Avladı?

Siber güvenlik dünyasında yeni bir alarm zili çalıyor: FortiGate güvenlik açığı üzerinden yürütülen FortiBleed operasyonu, dünya genelinde 430.000’den fazla FortiGate güvenlik duvarını hedef alarak 110 milyonun üzerinde kimlik bilgisini ele geçirdi. Finansal motivasyonla hareket eden Rusça konuşan bir ilk erişim aracısı (IAB) grubunun Şubat 2026’dan bu yana aktif olduğu bu geniş çaplı operasyon, işletmelerin dijital savunmalarını bir kez daha sorgulatıyor.
FortiBleed Operasyonunun Derinlikleri
FortiBleed, sadece rastgele bir saldırı değil, son derece organize ve çok aşamalı bir kimlik bilgisi toplama kampanyası olarak karşımıza çıkıyor. Saldırganlar, ilk olarak internete açık FortiGate güvenlik duvarlarını belirlemek için kapsamlı keşif araçlarını devreye sokuyor. Ardından, ele geçirdikleri sistemler üzerinde özel tasarlanmış dinleyiciler (sniffer) konuşlandırıyorlar. Bu sniffer’lar, uzlaşılmış cihazlardan geçen trafiği pasif bir şekilde izleyerek hem açık metin hem de hashlenmiş kimlik bilgilerini yakalama yeteneğine sahip.
Peki, bu kimlik bilgileri ne için kullanılıyor? Toplanan veriler titizlikle kırılıyor, doğrulanıyor ve ardından Active Directory etki alanlarına ve diğer açık hizmetlere karşı tekrar kullanılıyor. Bu durum, sızdırılan tek bir kimlik bilgisinin bile tüm kurumsal ağın anahtarı haline gelebileceği gerçeğini acı bir şekilde ortaya koyuyor. Şirketler, ağlarındaki en zayıf halkayı bulmak için yeterince çaba harcıyor mu?
Golang Sniffer ve FortiGate’in Zafiyeti
FortiBleed operasyonunun merkezinde, Golang tabanlı FortigateSniffer adında özel bir araç bulunuyor. Bu sofistike araç, FortiOS’un yerleşik tanı komutu olan diagnose sniffer packet özelliğini kendi lehine kullanarak, enfekte olmuş cihazlardan geçen kimlik doğrulama trafiğini sessizce yakalıyor. Hem Windows hem de Unix versiyonları bulunan bu dinleyici, tam 24 farklı protokoldeki trafiği izleyebiliyor, kimlik doğrulama verilerini ayrıştırabiliyor ve hassas bilgileri çıkarabiliyor.
Bu, bir güvenlik duvarının kendi iç tanı arayüzünün nasıl bir zafiyete dönüşebileceğinin çarpıcı bir örneği değil mi? Saldırganların bu tür yerleşik işlevsellikleri kötüye kullanma becerisi, üreticilerin dahi öngöremediği riskleri beraberinde getiriyor. İlginç bir şekilde, bu operasyonda açık kaynaklı, yapay zeka destekli taarruzi güvenlik platformu CyberStrike’ın bazı iş akışlarında kullanıldığına dair şüpheler de mevcut. Ayrıca, Amazon Tehdit İstihbaratı’nın daha önce ortaya çıkardığı başka bir FortiGate hedefli toplu tarama kampanyasında CyberStrikeAI adlı farklı bir açık kaynaklı çerçeveye başvurulduğu da biliniyor; bu da siber suçluların yapay zekayı araç kutularına ne denli entegre ettiğini gösteriyor.
Operasyonun ölçeği ve kullanılan teknikler, tehdit aktörlerinin ne denli organize ve kaynak odaklı çalıştığını bir kez daha gözler önüne seriyor. Bu durum, siber güvenlik dünyası için yeni bir meydan okuma anlamına geliyor.
Hedef Odaklılık ve Geniş Kapsamlı Saldırı Zinciri
FortiBleed kampanyası, özellikle 200’den az çalışanı olan KOBİ’lere odaklanmış durumda. Bu tercih, saldırganların neden bu segmenti seçtiğini açıkça gösteriyor: KOBİ’ler genellikle daha zayıf siber güvenlik altyapısına sahip olduklarından, ele geçirilen hizmet sağlayıcıları aracılığıyla daha geniş müşteri ortamlarına erişim yolları yaratmak daha kolay hale geliyor. Amerika Birleşik Devletleri ve Hindistan başta olmak üzere birçok sektör ve bölge hedeflenmiş olsa da, özellikle BT hizmetleri sektörüne belirgin bir vurgu yapıldığı görülüyor. Türkiye’deki KOBİ’ler ve özellikle BT hizmet sağlayıcıları da benzer risklerle karşı karşıya, zira bu tür saldırılar coğrafi sınır tanımıyor.
En dikkat çekici bulgulardan biri ise FortiBleed’in çok daha geniş, birden fazla satıcıyı hedef alan bir ilk erişim operasyonunun parçası olması. Sadece Fortinet cihazları değil, aynı zamanda Synology NAS, Sophos güvenlik duvarları, RDWeb portalları, Citrix SSL-VPN’ler ve MS-SQL sunucuları da otomatik kaba kuvvet saldırılarıyla Şubat 2026’dan bu yana ihlal ediliyor. Bu, saldırganların tek bir üreticiye bağlı kalmayıp, geniş bir yüzeyde fırsat aradığını gösteriyor. 31 Mayıs ile 15 Haziran 2026 tarihleri arasında en az 659 kimlik bilgisi toplama hattının devreye sokulduğu ve bu süreçte 110 milyondan fazla kimlik bilgisinin tespit edildiği tahmin ediliyor. Bu devasa veri yığını içinde 14.8 milyon RADIUS kimlik bilgisi, 924.000 NTLM hash’i, 130.000 Kerberos hash’i ve 89 milyon MySQL kimlik doğrulama belirteci yer alıyor. Böylesine bir saldırı kapsamı, modern siber tehditlerin ulaştığı boyutu gözler önüne seriyor.
FortiBleed’in Beş Aşamalı Taarruz Stratejisi
Bu kapsamlı operasyonun, metodik ve organize bir yaklaşımla beş ana aşamada ilerlediği belirlendi. Her aşama, hedeflere ulaşmak için kritik bir rol oynuyor ve saldırganların ne denli hazırlıklı olduğunu gözler önüne seriyor:
- Geniş Çaplı Keşif: Saldırganlar, internete açık ve potansiyel olarak savunmasız FortiGate güvenlik duvarlarını belirlemek için Masscan ve Shodan gibi araçları kullanıyor. Bu ilk adım, saldırının temelini oluşturuyor.
- Hedef Filtreleme: Keşif sonrası, özel olarak geliştirilmiş FortiProbe-fast ve GeoSplit gibi araçlar devreye giriyor. Bu yardımcı programlar, FortiGate sistemlerini filtreleyerek ülkelerine göre gruplandırıyor; bu da hedeflerin coğrafi olarak seçilmesine olanak tanıyor.
- Cihazların Ele Geçirilmesi: Kimlik denetleyicisi olarak bilinen “forticheck” adlı bir araç kullanılarak cihazlar ele geçiriliyor. Bu araç, özellikle FortiGate cihazlarındaki zafiyetleri hedef alarak ilk erişimi sağlıyor.
- Özel Dinleyicilerin Konuşlandırılması: Uzlaşılmış güvenlik duvarlarına özel olarak tasarlanmış sniffer’lar konuşlandırılıyor. Bu dinleyiciler, cihazdan geçen tüm hassas kimlik doğrulama trafiğini yakalamak üzere ayarlanıyor.
- Kimlik Bilgilerinin Kırılması ve Yeniden Kullanımı: Yakalanan kimlik bilgileri, şifre kırma teknikleriyle ele geçiriliyor, doğrulanıyor ve ardından hedef ağlardaki Active Directory veya diğer hizmetlere karşı ikincil saldırılarda kullanılıyor. Bu son aşama, saldırının nihai amacına ulaşmasını sağlıyor.
Bu beş aşamalı strateji, siber suçluların artık rastgele değil, planlı ve kademeli saldırılarla hareket ettiğini kanıtlıyor. Peki, bu seviyede bir organizasyon karşısında bireysel şirketler ne yapabilir?
FortiGate Güvenlik Açığı Hakkında Bilmeniz Gereken Son Şey
FortiBleed gibi kapsamlı operasyonlar, modern siber güvenlik tehditlerinin evrimini açıkça gösteriyor. Tek başına bir ürün veya hizmete odaklanmayan, çok katmanlı ve çok satıcılı bu tür saldırılar, kuruluşların savunma stratejilerini yeniden değerlendirmesini zorunlu kılıyor. Şirketler, yalnızca reaktif değil, proaktif güvenlik önlemlerine yatırım yapmalı.
En temel ve en etkili adımlardan biri, tüm ağ cihazlarında ve sunucularda düzenli olarak güvenlik yamalarının uygulanmasıdır. Yama yönetimi süreçleri asla aksatılmamalı. Güçlü ve karmaşık parolalar kullanmak, yanı sıra çok faktörlü kimlik doğrulama (MFA) sistemlerini yaygınlaştırmak da kritik öneme sahiptir. Ayrıca, ağ segmentasyonu ile hassas verilerin ve sistemlerin birbirinden izole edilmesi, bir ihlal durumunda zararın yayılmasını engelleyebilir. Ağ trafiğinin sürekli izlenmesi ve anormal davranışların hızla tespit edilmesi, bu tür dinleyici tabanlı saldırıları önlemede hayati rol oynar. Unutmayın, güvenlik bir varış noktası değil, sürekli bir yolculuktur; bu tür tehditler, bizi her zaman tetikte olmaya zorluyor.
Sık Sorulan Sorular
İlgili Makaleler
- ›Sahte 7-Zip Yükleyicileri, Cihazları Konut Proxy Ağına Katıyor
- ›Gizlenen Kimlik Avı Dalgaları Geleneksel E-posta Kalkanlarını Kırıyor
- ›Kimlik Doğrulama Adımı: Siber Saldırıların Yeni Cephesi
- ›Tenda Router Yazılımlarında Gizli Yönetici Arka Kapısı Riski
- ›Dijital Güvenlikte Yeni Dönem: 2026’nın En İyi Yapay Zeka ve Kimlik Korumalı Antivirüs Programları