ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), vahşi doğada aktif sömürü kanıtları ortaya çıktıktan sonra, birden fazla Fortinet ürününü etkileyen beş sıfır günlük güvenlik açıkları hakkında acil bir uyarı yayınladı.
CVE-2025-32756 olarak izlenen güvenlik açıkları, Fortinet’in Fortivoice, FortiMail, Fortindr, Fortirecorder ve Forticamera platformları, birleşik iletişim, e-posta, ağ algılama ve video gözetim için işletme ortamlarında yaygın olarak kullanılan Forticamera platformları.
Kritik Yığın Tabanlı Tampon Taşma
Tehditin çekirdeği, savunmasız cihazlara özel olarak hazırlanmış HTTP istekleri göndererek uzaktan, kimlik doğrulanmamış saldırganların keyfi kod veya komutlar yürütmesine izin veren kritik bir Stack tabanlı tampon taşma güvenlik açığıdır (CWE-124).
.png
)
Kusur, etkilenen kuruluşlar üzerindeki şiddetini ve potansiyel etkisinin altını çizerek 9.6 CVSS V3 puanı taşır.
Fortinet, savunmasızlığın vahşi doğada kullanıldığını doğruladı ve ilk saldırılar Fortivoice cihazlarını hedef aldı. Saldırganlar şu yetenekleri gösterdiler:
- Dahili cihaz ağlarını tarayın.
- Sistemi silmek için Sistem Crashlogs.
- SSH girişleri de dahil olmak üzere kimlik doğrulama girişimlerini günlüğe kaydetmek için ‘FCGI hata ayıklama’ etkinleştirin.
- Kimlik bilgilerini hasat etmek için kötü amaçlı yazılım ve cron işlerini dağıtın.
- Daha fazla ağ keşfi için komut dosyaları bırakın.
Fortinet tarafından yayınlanan uzlaşma göstergeleri (IOCS), şüpheli günlük girişleri, sistem dosyalarında değişiklikler ve yetkisiz cron işlerinin ve ikili dosyaların varlığını içerir.
Tehdit avına yardımcı olmak için saldırılara bağlı birkaç IP adresi de açıklanmıştır.
Şu an itibariyle, belirli tehdit aktörlerine kamuya açık bir atıf veya fidye yazılımı kampanyalarına onaylanmış bağlantılar yoktur.
Bununla birlikte, hem siber suçlu hem de ulus devlet aktörleri tarafından kaldırılan Fortinet güvenlik açıklarının tarihi göz önüne alındığında, güvenlik uzmanları daha geniş sömürünün yakında takip edebileceği konusunda uyarıyor.
CISA’nın direktifi ve azaltma adımları
CISA, bilinen sömürülen güvenlik açıklarına (KEV) kataloğuna CVE-2025-32756 ekledi ve federal ajansların 4 Haziran 2025’e kadar kusuru düzeltmesini gerektirdi.
Ajans, sadece federal kuruluşları değil, tüm kuruluşları hemen satıcı tarafından sağlanan yamaları uygulamaya, Bulut Hizmetleri için Bağlayıcı Operasyonel Direktif (BOD) 22-01 rehberliğini takip etmeye veya hafifletmeler kullanılamıyorsa etkilenen ürünlerin kullanımını durdurmaya çağırıyor.
Hemen yükseltemeyenler için Fortinet, HTTP/HTTPS yönetim arayüzünün geçici bir çözüm olarak devre dışı bırakılmasını önerir.
Binlerce Fortinet cihazının potansiyel olarak internete maruz kalmasıyla, hızlı yükselme riski yüksektir.
Güvenlik uzmanları, Yama yapma, IOC’ler için izleme ve yetkisiz değişiklikler için sistem günlüklerini gözden geçirme aciliyetini vurgular.
“Fortinet güvenlik açıkları tarihsel olarak siber saldırganlar için ortak hedefler olmuştur… Bir kavram kanıtı piyasaya sürüldüğünde, saldırganların geçmişte ulus-devlet aktörleri de dahil olmak üzere tehdit aktörleri tarafından kullanıldığı için saldırganlıkları saldırılarına dahil etmesini bekliyoruz.”
Kuruluşlara ağlarını ve hassas verileri bu kritik tehditten korumak için hızlı hareket etmeleri tavsiye edilir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!