Tehdit izleme organizasyonu The Shadowserver Foundation’a göre, düzinelerce Fortinet Fortiweb örneği, yaygın bir hack kampanyasında webshells ile tehlikeye atıldı.
Saldırılar, CVE-2025-25257 olarak izlenen kritik bir güvenlik açığı ile bağlantılıdır, bunun için kamu kavramının (POC) istismarlarının sadece günler önce yayınlandığı.
Key Takeaways
1. Attackers are actively compromising Fortinet FortiWeb instances with webshells by exploiting a critical SQL injection vulnerability, tracked as CVE-2025-25257.
2. The campaign began around July 11, immediately after security researchers released public proof-of-concept (PoC) exploits, making it easy for threat actors to weaponize the flaw.
3. The Shadowserver Foundation has identified 77 compromised devices as of July 15 and warns that over 200 additional FortiWeb management interfaces remain exposed online, leaving them highly vulnerable if unpatched.
4. Fortinet has already released security updates and strongly urges customers to upgrade their systems immediately or disable the administrative interface to block the attack vector and prevent compromise.
Shadowserver Vakfı Salı günü, önceki gün 85’ten hafif bir düşüş olan 77 uzlaşmış FortiWeb örneği belirlediğini bildirdi. Kuruluş, güvenlik açığının aktif olarak kullanılmasının 11 Temmuz’dan bu yana gözlemlendiğini, aynı gün araştırmacıların kamuya açık bir şekilde kullanılabilir hale getirdiğini belirtti.
Bu saldırıların kalbindeki güvenlik açığı olan CVE-2025-25257, Fortiweb grafik kullanıcı arayüzünde kritik bir önceden onaylanmış SQL enjeksiyonu (SQLI) kusurudur.
10 üzerinden 9,6 CVSS önem skoru ile kusur, kimlik doğrulanmamış saldırganların özel olarak hazırlanmış HTTP istekleri göndererek yetkisiz kod veya komutları uzaktan yürütmesine izin verir.
Büyük bir siber güvenlik ve güvenlik duvarı satıcısı olan Fortinet, FortiWeb cihazını büyük işletmeler ve devlet kurumları için web uygulamalarını ve API’leri korumak için bir web uygulaması güvenlik duvarı (WAF) olarak kullanıyor.
Fortinet, 8 Temmuz 2025’te güvenlik açığını açıkladı ve bunu ele almak için yamalar yayınladı. GDO Siber Güvenlik’ten Güvenlik Araştırmacısı Kentaro Kawane tarafından keşfedilen kusur, WAF’ı diğer Fortinet güvenlik ürünleriyle entegre eden bir bileşen olan FortiWeb kumaş konektöründe bulunuyor.
Bununla birlikte, 11 Temmuz’da, siber güvenlik firması Watchtowr ve kusurun ortak keşifçilerinden biri, POC istismarlarını yayınladı ve örgütlerin açılmamış versiyonları yürütme riskini önemli ölçüde artırdı.
İstismarlar, bir saldırganın bir webshell dikmek veya savunmasız bir cihaza ters bir kabuk açmak için SQL enjeksiyonundan nasıl yararlanabileceğini gösterdi ve onlara kalıcı erişim ve kontrol sağladı.
Mevcut saldırı dalgası, siber güvenlik uzmanlarının tehdit aktörlerinin kamu istismarlarını hızla silahlandıracağından korktuğunu doğrulamaktadır. Shadowserver’a göre, 15 Temmuz itibariyle 223 FortiWeb yönetim arayüzü internete maruz kaldı.
Yama durumları doğrulanmamış olsa da, bu sistemlerin güncellenmedikleri takdirde tehlikeye girme olasılığı yüksek olarak kabul edilir. Amerika Birleşik Devletleri 40 yaşında en fazla sayıda uzlaşmış cihaza sahip, bunu Hollanda, Singapur ve Birleşik Krallık izliyor.
Fortinet, müşterileri Fortiweb 7.6.4, 7.4.8, 7.2.11 veya 7.0.11 ve daha sonra dahil olmak üzere güvenli sürümlere hemen yükseltmeye çağırdı.
Yamaları hemen uygulayamayan kuruluşlar için şirket, saldırı vektörünü engellemek için HTTP/HTTPS idari arayüzünün geçici bir çözüm olarak devre dışı bırakılmasını önerir.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi