Fortinet, Fortisiem platformunda, CVE-2025-25256 olarak tanımlanan ve şu anda vahşi doğada aktif olarak sömürülen kritik bir OS komutu enjeksiyon güvenlik açığının kullanıcılarına acilen bildirildi. Fortinet’in güvenlik danışmanlığına göre, kusur 9.8’lik bir CVSS puanı aldı ve aşırı şiddetini gösterdi.
Neler risk altında ve hangi versiyonlar etkileniyor?
Bu güvenlik açığı, işletim sistemi komutlarında (CWE-78 kapsamında sınıflandırılmış) kullanılan özel elemanların yanlış dezenfeklenmesinden kaynaklanmaktadır. Sonuç olarak, kimliği doğrulanmamış tehdit aktörleri, herhangi bir kullanıcı etkileşimi olmadan hazırlanmış CLI istekleri aracılığıyla keyfi kod veya komutlar uzaktan yürütebilir.
Etkilenen Fortisiem sürümleri şunları içerir:
- 6.1 ila 6.6
- 6.7.0 ila 6.7.9 (6.7.10+ yükseltme)
- 7.0.0 ila 7.0.3 (7.0.4+ yükseltme)
- 7.1.0 ila 7.1.7 (7.1.8+ yükseltme)
- 7.2.0 ila 7.2.5 (7.2.6+ yükseltme)
- 7.3.0 ila 7.3.1 (7.3.2+ yükseltme)
- 7.4 etkilenmez
Fortinet’in Fortisiem Bug için önerdiği şey
Fortinet derhal eylemi teşvik eder – ya sabit bir versiyona yama veya iç keşif ve senkronizasyon için yaygın olarak kullanılan Phonitor bağlantı noktasına (TCP 7900) erişimi kısıtlar. Bu limana erişimi güvenilir dahili ana veya IP’lerle sınırlamak, riski geçici olarak azaltabilir.
Fortinet ayrıca, çalışma istismar kodunun vahşi doğada dolaştığını doğruladı. Ne yazık ki, bu istismarlar ayırt edici uzlaşma göstergeleri (IOC) üretmez, bu da tespiti zorlaştırır.
Fortinet SSL VPN’lerine karşı kaba saldırılar
Bu danışma, Greynoise’in Fortinet SSL VPN cihazlarını hedefleyen kaba kuvvet girişimlerinde ani bir artış keşfetmesinin topuklarında geliyor. 3 Ağustos 2025’te, ABD, Kanada, Rusya ve Hollanda da dahil olmak üzere ülkelerden 780’den fazla benzersiz IP adresi, sayısız kıtadaki VPN uç noktalarına yetkisiz erişim sağladı.
Grinnoise ayrıca, bu kaba kuvvet takımının 5 Ağustos civarında değiştiğini, Fortios hedefli saldırılardan FortimAnager (FGFM) sistemlerine çarpmaya geçtiğini gözlemledi-Saldırganlar Saldırganlarının Stratejilerini Orta Operasyona Uyumuyor Olabilir.
Bu örüntü, Geynoise’in kaba kuvvet aktivitesindeki sivri uçların genellikle aynı satıcıyı hedefleyen yeni CVE açıklamalarından önce, tipik olarak altı haftalık bir süre içinde olduğunu gösteren daha geniş araştırmalarla tutarlıdır.
CVE-2025-25256 Güvenlik Açığı Özeti
| Sorun | Detaylar |
|---|---|
| Güvenlik açığı | CVE-2025-25256-Fortisiem’de Kritik OS komut enjeksiyonu (CVSS 9.8) |
| Durumdan İstismar Durumu | Aktif olarak sömürülen; net IOC’lardan yoksun |
| Etkilenen sürümler | Fortisiem 6.1–7.3.1 (7.4 hariç) |
| Önerilen Eylem | En son sabit sürüm için yama; Phonitor Port’a erişimi kısıtlayın (7900) |
| İlgili Saldırı Eğilimleri | SSL VPN’ye büyük ölçekli kaba kuvvet saldırıları ve Fortimanager’a doğru kayıyor |
| Stratejik içgörü | Brute-Force ani, genellikle yeni güvenlik açığı açıklamalarının öncüsüdür |
Fortisiem’i yöneten kuruluşlar derhal yamaya öncelik vermelidir. Güncellemeler hemen uygulanamazsa, 7900 (Phonitor) gibi kritik dahili bağlantı noktalarına erişimin sıkılması geçici bir tampon görevi görebilir. Bu arada, son zamanlarda Fortinet cihazlarına-özellikle Fortimanager’a geçiş-aciliyeti yoğunlaştıran daha geniş, koordineli bir çabayı gösteren kaba kuvvet saldırıları dalgası.