Dünya çapında 10.000’den fazla Fortinet güvenlik duvarı, beş buçuk yıl önce açıklanan çok faktörlü kimlik doğrulama (MFA) bypass kusuru olan CVE-2020-12812’ye karşı savunmasız durumda.
Shadowserver kısa süre önce sorunu günlük Savunmasız HTTP Raporuna ekledi ve Fortinet’in 2025’in sonlarında onayladığı aktif kötüye kullanım sırasında sürekli olarak maruz kalındığını vurguladı.
CVE-2020-12812, FortiOS SSL VPN portallarındaki hatalı kimlik doğrulamasından kaynaklanıyor ve 6.4.0, 6.2.0 ila 6.2.3 ile 6.0.9 ve önceki sürümleri etkiliyor. Saldırganlar, oturum açma sırasında “kullanıcı”yı “Kullanıcı” olarak değiştirmek gibi meşru bir kullanıcı adının büyük/küçük harf durumunu değiştirerek ikinci kimlik doğrulama faktörünü (tipik olarak FortiToken) atlayabilirler.
Bu, büyük/küçük harf duyarlılığının uyumsuzluğundan kaynaklanır: FortiGate, yerel kullanıcı adlarını büyük/küçük harfe duyarlı olarak ele alırken, LDAP sunucuları (Active Directory gibi) genellikle büyük/küçük harf dikkate almaz ve MFA istemeden grup üyeliği yoluyla kimlik doğrulamaya izin verir.
Kusur, ağ erişilebilirliği, düşük karmaşıklık ve gizlilik, bütünlük ve kullanılabilirlik etkileri potansiyeli ile CVSS v3.1 temel puanı 7,5 (Yüksek) taşıyor. Fidye yazılımı aktörlerinin bundan faydalanmasının ardından 2021’de CISA’nın Bilinen İstismara Uğrayan Güvenlik Açıkları kataloğuna eklendi.
Aralık 2025’te Fortinet, belirli yapılandırmalara bağlı olarak güvenlik açığının “son zamanlarda kötüye kullanılması”nı ayrıntılı olarak açıklayan bir PSIRT uyarısı (FG-IR-19-283 güncellemesi) yayınladı: MFA etkin, LDAP’ye bağlı ve SSL VPN, IPsec veya yönetici erişimi için kimlik doğrulama politikalarıyla eşlenen LDAP gruplarına ait yerel FortiGate kullanıcıları. Tehdit aktörleri, yetkisiz dahili ağ erişimi elde etmek için bunu istismar etti ve Fortinet’in acil kontroller ve yamalar yapması yönünde baskı yapmasına neden oldu.
Shadowserver’ın taramaları, açıktaki bağlantı noktalarındaki savunmasız HTTP hizmetlerini tarayarak kusurun kalıcılığını doğrular.
Shadowserver’ın kontrol paneli, Ocak 2026’nın başı itibarıyla 10.000’den fazla savunmasız örneği ortaya koyuyor. ABD, 1,3 bin açıkta kalan güvenlik duvarı ile hakim durumda, onu Tayland (909), Tayvan (728), Japonya (462) ve Çin (462) izliyor.
Bir dünya haritası görselleştirmesi, Kuzey Amerika, Doğu Asya ve Avrupa’daki yoğun kümeleri gösterirken, Afrika ve Güney Amerika’nın bazı kısımlarında daha hafif bir görünüm var.
| En Popüler Ülkeler | Savunmasız Sayım |
|---|---|
| Amerika Birleşik Devletleri | 1,3 bin |
| Tayland | 909 |
| Tayvan | 728 |
| Japonya | 462 |
| Çin | 462 |
Fortinet, hibrit yerel LDAP MFA kurulumlarından kaçınmak için sabit FortiOS sürümlerine (6.0.10+, 6.2.4+, 6.4.1+) yükseltme yapılmasını ve yapılandırmaların doğrulanmasını önerir.
Gereksiz SSL VPN korumasızlığını devre dışı bırakın, en az ayrıcalığı uygulayın ve büyük/küçük harfe göre değişen oturum açma girişimleri için günlükleri izleyin. Kuruluşlar, özelleştirilmiş uyarılar için Shadowserver raporlarına abone olmalı ve Savunmasız HTTP taramalarını derhal çalıştırmalıdır.
Devam eden bu tehdit, kurumsal güvenlik duvarlarındaki eski güvenlik açıklarının oluşturduğu, ihlal edilen ağlarda fidye yazılımlarına veya yanal harekete olanak tanıyan risklerin altını çiziyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
