FortiGate güvenlik duvarı cihazlarını hedef alan yeni bir otomatik kötü amaçlı etkinlik kümesi. 15 Ocak 2026’dan itibaren, tehdit aktörlerinin yetkisiz yapılandırma değişiklikleri gerçekleştirdiği, genel hesaplar aracılığıyla kalıcılık sağladığı ve hassas güvenlik duvarı yapılandırma verilerini sızdırdığı gözlemlendi.
Bu kampanya, Fortinet’in CVE-2025-59718 ve CVE-2025-59719 kritik güvenlik açıklarını açıklamasından kısa bir süre sonra kötü amaçlı SSO girişlerini içeren Aralık 2025 olayını hatırlatıyor.
Arctic Wolf, ilk erişim yöntemlerinin henüz doğrulanmadığını ancak taktiklerin önceki SSO kötüye kullanımlarını yansıttığını belirtiyor. Algılamalar etkindir ve müşterileri şüpheli etkinliklere karşı uyarır. Fortinet, mevcut yamaların bu dalgayı tamamen azaltıp azaltmadığını henüz doğrulamadı.
Aralık 2025’in başlarında Fortinet, iki kritik kimlik doğrulama atlama kusurunun ayrıntılarını içeren FG-IR-25-647’yi yayınladı. Saldırganlar, FortiCloud SSO etkinleştirildiğinde SSO girişini atlamak için kötü amaçlı SAML mesajları oluşturur.
| CVE Kimliği | Tanım | Şiddet | Etkilenen Ürünler |
|---|---|---|---|
| CVE-2025-59718 | Kimlik doğrulamasız SAML TOA atlaması | Kritik | FortiOS, FortiWeb, FortiProxy |
| CVE-2025-59719 | Kimlik doğrulamasız SAML TOA atlaması | Kritik | FortiOS, FortiWeb, FortiSwitchManager |
Açıklamanın ardından Arctic Wolf, yönetici hesaplarında SSO girişlerini ve ardından yapılandırma dökümlerini ve kalıcılığı gözlemledi. Ocak ayındaki saldırıların aynı kusurlardan mı yoksa yamalı varyantlardan mı yararlandığı belli değil.
Saldırı Zinciri
Arctic Wolf’un telemetrisi, saldırıların oldukça otomatik olduğunu ve öldürme zincirinin birçok aşamasının birkaç saniye arayla gerçekleştiğini gösteriyor.
- İlk Erişim: Kötü amaçlı SSO oturum açma işlemleri, belirli barındırma sağlayıcısı IP adreslerinden başlatılır. Bu izinsiz girişler için kullanılan birincil hesap: [email protected].
- Süzme: Oturum açmanın hemen ardından saldırgan, sistem yapılandırma dosyasının GUI arayüzü aracılığıyla aynı kaynak IP’ye indirilmesini tetikler.
- Kalıcılık: Saldırganlar erişimi sürdürmek için ikincil yönetici hesapları oluşturur. Gözlemlenen yaygın kullanıcı adları şunları içerir: secadmin, itadminVe uzaktan yönetici.
Günlükler, oturum açma, yapılandırmayı dışa aktarma ve hesap oluşturma arasındaki zaman farkının ihmal edilebilir olduğunu gösteriyor ve bu da otomatik komut dosyalarının kullanıldığını doğruluyor.
Uzlaşma Göstergeleri
Bu IOC’leri uzlaşma belirtileri açısından izleyin:
| IOC | Tip | Tanım |
|---|---|---|
| bulut-init@mail[.]io | Kötü amaçlı hesap | Oturum açma ve yapılandırma sızdırma için kullanılır |
| bulut-noc@mail[.]io | Kötü amaçlı hesap | Oturum açma ve yapılandırma sızdırma için kullanılır |
| 104.28.244[.]115 | Kaynak IP’si | SSO girişlerinde ve indirmelerde gözlemlendi |
| 104.28.212[.]114 | Kaynak IP’si | İzinsiz girişlerde gözlemlendi |
| 217.119.139[.]50 | Kaynak IP’si | İzinsiz girişlerde gözlemlendi |
| 37.1.209[.]19 | Kaynak IP’si | İzinsiz girişlerde gözlemlendi |
| secadmin | Kalıcılık yasası | Erişim sonrası oluşturuldu |
| itadmin | Kalıcılık yasası | Erişim sonrası oluşturuldu |
| Destek | Kalıcılık yasası | Erişim sonrası oluşturuldu |
| yedekleme | Kalıcılık yasası | Erişim sonrası oluşturuldu |
| uzaktan yönetici | Kalıcılık yasası | Erişim sonrası oluşturuldu |
| denetim | Kalıcılık yasası | Erişim sonrası oluşturuldu |
Azaltmalar
Fortinet kullanıcıları resmi uyarıları takip etmeli ve yamaları hemen uygulamalıdır (yükseltme kılavuzu). Etkinlik eşleşirse tüm kimlik bilgilerini sıfırlayın; karma kimlik bilgileri çevrimdışı olarak kırılabilir.
Toplu taramalara karşı en iyi uygulama olan yönetim arayüzlerini güvenilir dahili ağlarla sınırlandırın. Geçici bir çözüm olarak FortiCloud SSO’yu devre dışı bırakın:
textconfig system global
set admin-forticloud-sso-login disable
end
Kuruluşlar bu IOC’leri araştırmalı ve FortiGate günlüklerini derhal incelemelidir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
