Tehdit aktörleri, Fortinet FortiGate cihazlarında yeni açıklanan iki güvenlik açığından, kamuya açıklanmasından bir haftadan kısa bir süre sonra yararlanmaya başladı.
Siber güvenlik şirketi Arctic Wolf, 12 Aralık 2025’te FortiGate cihazlarında kötü niyetli tek oturum açma (SSO) oturum açma işlemlerini içeren aktif izinsiz girişler gözlemlediğini söyledi. Saldırılar, iki kritik kimlik doğrulama geçişinden yararlanıyor (CVE-2025-59718 ve CVE-2025-59719, CVSS puanları: 9,8). Kusurlara yönelik yamalar geçen hafta Fortinet tarafından FortiOS, FortiWeb, FortiProxy ve FortiSwitchManager için yayınlandı.
Arctic Wolf Labs yeni bir bültende, “Bu güvenlik açıkları, eğer FortiCloud SSO özelliği etkilenen cihazlarda etkinse, hazırlanmış SAML mesajları yoluyla SSO oturum açma kimlik doğrulamasının kimlik doğrulaması olmadan atlanmasına izin veriyor” dedi.
FortiCloud SSO’nun varsayılan olarak devre dışı olmasına rağmen, yöneticiler kayıt sayfasındaki “FortiCloud SSO’yu kullanarak yönetici oturum açmaya izin ver” ayarını kullanarak bunu açıkça kapatmadıkça FortiCare kaydı sırasında otomatik olarak etkinleştirildiğini belirtmekte fayda var.
Arctic Wolf tarafından gözlemlenen kötü amaçlı etkinlikte, The Constant Company llc, Bl Networks ve Kaopu Cloud Hk Limited gibi sınırlı sayıda barındırma sağlayıcısıyla ilişkili IP adresleri, “yönetici” hesabına karşı kötü amaçlı SSO oturum açma işlemleri gerçekleştirmek için kullanıldı.
Oturum açmaların ardından saldırganların cihaz yapılandırmalarını GUI aracılığıyla aynı IP adreslerine aktardığı tespit edildi.
Devam eden kullanım faaliyetleri ışığında kuruluşların yamaları mümkün olan en kısa sürede uygulamaları tavsiye edilir. Azaltma önlemleri olarak, bulut sunucuları en son sürüme güncellenene kadar FortiCloud SSO’yu devre dışı bırakmak ve güvenlik duvarlarının ve VPN’lerin yönetim arayüzlerine erişimi güvenilir dahili kullanıcılarla sınırlandırmak önemlidir.
Arctic Wolf, “Kimlik bilgileri genellikle ağ cihazı yapılandırmalarında karma işlemine tabi tutulsa da, tehdit aktörlerinin, özellikle kimlik bilgileri zayıfsa ve sözlük saldırılarına açıksa, karmaları çevrimdışı olarak kırdığı biliniyor.” dedi.
Kampanyayla tutarlı güvenlik ihlali göstergeleri (IoC’ler) bulan Fortinet müşterilerinin, güvenlik ihlali olduğunu varsaymaları ve sızdırılan yapılandırmalarda saklanan karma güvenlik duvarı kimlik bilgilerini sıfırlamaları önerilir.