Siber güvenlik uzmanları, dünya çapında 2,8 milyon IP adresi kullanılarak gerçekleştirilen büyük çaplı bir brute force saldırısının devam ettiğini açıkladı. Bu saldırının özellikle VPN cihazları ve ağ güvenlik duvarlarını hedef aldığı belirtilirken, tehdit altındaki markalar arasında Palo Alto Networks, Ivanti ve SonicWall gibi büyük ağ güvenlik firmaları bulunuyor.
Saldırıyı takip eden The Shadowserver Foundation, bu brute force saldırısının geçtiğimiz ay başladığını ve her gün yaklaşık 2,8 milyon farklı IP adresinden giriş denemeleri yapıldığını raporladı.
Gelen verilere göre saldırılarda kullanılan 1,1 milyon IP adresi Brezilya kaynaklı, ancak Türkiye, Rusya, Arjantin, Fas ve Meksika gibi birçok farklı ülkeden de saldırı girişimleri yapılıyor.
Saldırganların hedef aldığı sistemler, genellikle internet üzerinden erişilebilen güvenlik duvarları, VPN’ler, ağ geçitleri ve diğer güvenlik cihazları olarak öne çıkıyor.
Bu büyük çaplı saldırıyı gerçekleştiren sistemlerin büyük bir kısmı, MikroTik, Huawei, Cisco, Boa ve ZTE yönlendiricileri (router) ile IoT cihazları olarak tespit edildi. Bu cihazlar, genellikle kötü amaçlı yazılım botnetleri tarafından ele geçirilerek, saldırganların hizmetine sunuluyor.
The Shadowserver Foundation, bu saldırıların uzun süredir devam ettiğini ancak son haftalarda ciddi şekilde arttığını ve sistematik hale geldiğini belirtti.
Uzmanlar, saldırıyı gerçekleştiren IP adreslerinin büyük bir kısmının botnetler veya konut proxy (residential proxy) ağları üzerinden yönlendirildiğini düşünüyor.
Konut proxy ağları, bireysel internet kullanıcılarına tahsis edilen IP adreslerini kötüye kullanarak saldırganların kimliklerini gizlemelerine yardımcı oluyor. Bu yöntem, siber suç, veri kazıma (scraping), coğrafi kısıtlama aşma ve reklam dolandırıcılığı gibi faaliyetlerde de sıklıkla kullanılıyor.
Ağ geçidi cihazlarının ele geçirilmesi, bu sistemleri kötü niyetli trafiğin yönlendirilmesi için proxy çıkış noktaları haline getirebilir. Kurumsal ağlar genellikle yüksek güvenilirliğe sahip olduğundan, saldırılar daha zor tespit edilebilir hale gelir.
Siber güvenlik uzmanları, ağ cihazlarını brute force saldırılarından korumak için şu önlemlerin alınmasını öneriyor:
- Cihazların varsayılan yönetici şifreleri (admin password) değiştirilerek güçlü ve benzersiz bir parola belirlenmeli.
- Çok faktörlü kimlik doğrulama (MFA) etkinleştirilmeli.
- Güvenilir IP adreslerini içeren bir izin listesi (allowlist) oluşturulmalı.
- Web tabanlı yönetim panelleri gereksizse devre dışı bırakılmalı.
- Tüm cihazlarda en güncel firmware ve güvenlik yamaları uygulanmalı.
Bu tür saldırılar yeni değil. Nisan 2024’te Cisco, dünya çapında Cisco, CheckPoint, Fortinet, SonicWall ve Ubiquiti cihazlarını hedef alan büyük çaplı brute force saldırıları konusunda uyarıda bulunmuştu.
Ayrıca Aralık 2024’te Citrix, Citrix Netscaler cihazlarını hedef alan şifre püskürtme (password spraying) saldırıları hakkında kritik bir uyarı yayımlamıştı.
Son dönemde yaşanan bu saldırılar, kurumsal ağların ve bireysel kullanıcıların güvenlik önlemlerini artırmasının gerekliliğini bir kez daha gözler önüne seriyor.
