ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), bilinen sömürülen güvenlik açıklarına (KEV) kataloğuna kritik bir Fortinet Fortiweb güvenlik açığı ekledi ve dünya çapında siber saldırılarda SQL enjeksiyon kusurunun aktif olarak sömürülmesini doğruladı.
CVE-2025-25257 olarak izlenen güvenlik açığı, Fortinet’in Fortiweb Web Uygulama Güvenlik Duvarı’nı etkiler ve 10 üzerinden 9.6’lık ciddi bir CVSS puanı taşır.
Güvenlik açığı, SQL komutlarında kullanılan özel elemanların yanlış nötralizasyonundan kaynaklanır ve kimlik doğrulanmamış saldırganların hazırlanmış HTTP veya HTTPS istekleri yoluyla yetkisiz SQL kodu veya komutları yürütmesine izin verir.
“Bir SQL komutunda (‘SQL enjeksiyonu) kullanılan özel elemanların yanlış nötralizasyonu güvenlik açığı [CWE-89] Fortiweb’de, kimlik doğrulanmamış bir saldırganın yetkisiz SQL kodu veya hazırlanmış HTTP veya HTTPS istekleri aracılığıyla komutları yürütmesine izin verebilir ”dedi.
Güvenlik açığı, güvenlik duvarı ve diğer Fortinet güvenlik ürünleri arasında bir köprü görevi gören Fortiweb’in kumaş konektör bileşeninde bulunur.
Güvenlik araştırmacıları, saldırganların kötü niyetli talepler göndererek kusurdan yararlanabileceğini keşfetti. /api/fabric/device/status hazırlanmış yetkilendirme başlıkları ile uç nokta.
Aktif sömürü kampanyası
Siber Güvenlik İzleme Organizasyonu Shadowserver Foundation, 15 Temmuz 2025 itibariyle 77 uzlaşmış FortiWeb örneklerini bildirerek güvenlik açığının yaygın olarak kullanılmasını tespit etti. Bu, önceki gün tespit edilen 85 uzlaştırılmış sistemden hafif bir düşüşü temsil ediyor.
Sömürü kampanyası, 11 Temmuz 2025’te, WatchTowr Labs’taki güvenlik araştırmacıları tarafından Kavram Kanıtı Kanıtı Kanıt Kodu’nun yayınlanmasına çakışarak başladı. Bu hızlı silahlandırma, tehdit aktörlerinin halka açık istismarlardan ne kadar hızlı yararlanabileceğini göstermektedir.
Shadowserver Foundation, “2025-07-14’te 85 arasında 2025-07-15’te 77 vaka görüyoruz.
Saldırılar, saldırganlar için sürekli arka kapı erişimi sağlayarak tehlikeye atılan sistemlere web kabuklarının dağıtılmasını içerir. Amerika Birleşik Devletleri, 40 yaşında en fazla uzlaşmış cihazın ardından Hollanda, Singapur ve Birleşik Krallık’taki en fazla uzlaşmacı cihazı oluşturmaktadır.
Birden fazla Fortiweb sürümleri saldırıya karşı savunmasızdır:
| Versiyon | Etkilenen | Çözüm |
|---|---|---|
| Fortiweb 7.6 | 7.6.0 ila 7.6.3 | 7.6.4 veya üstüne yükseltme |
| Fortiweb 7.4 | 7.4.0 ila 7.4.7 | 7.4.8 veya üstüne yükseltme |
| Fortiweb 7.2 | 7.2.0 ila 7.2.10 | 7.2.11 veya üstüne yükseltme |
| Fortiweb 7.0 | 7.0.0 ila 7.0.10 | 7.0.11 veya üstüne yükseltme |
Fortinet, 8 Temmuz 2025’te güvenlik yamalarını yayınladı ve 18 Temmuz’da kırılganlığın “Vahşi’de Fortiweb’de sömürüldüğünü” doğruladı.
CISA, tüm kuruluşları bu kırılganlığın iyileştirilmesine öncelik vermeye şiddetle teşvik ederek “bu tür güvenlik açıklarının kötü niyetli siber aktörler için sık saldırı vektörleri olduğunu ve federal girişim için önemli riskler oluşturduğunu” belirtmektedir.
Hemen yama yapamayan kuruluşlar için Fortinet, HTTP/HTTPS yönetim arayüzünün geçici bir çözüm olarak devre dışı bırakılmasını önerir. Ayrıca, 223 FortiWeb yönetim arayüzü çevrimiçi olarak maruz kalmaya devam ederek daha fazla uzlaşma için potansiyel hedefler oluşturur6.
Güvenlik açığı, Ierae tarafından GDO Siber Güvenlik’ten Kentaro Kawane tarafından sorumlu bir şekilde açıklandı. Güvenlik uzmanları, özellikle siber tehditlere karşı birincil savunma engelleri olarak hizmet veren internete bakan güvenlik cihazları için hızlı yama dağıtımının kritik önemini vurgulamaktadır.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi