Araştırmacılar, Fortinet FortiWeb’deki kritik bir güvenlik açığının aktif olarak istismar edildiği konusunda uyarıda bulunurken, şirketin Ekim ayı sonlarında bu kusur için sessiz bir yama yayınladığı yönündeki eleştiriler de dikkat çekti.
Göreceli yol geçiş güvenlik açığı şu şekilde izlenir: CVE-2025-64446kimliği doğrulanmamış bir saldırganın, özel hazırlanmış HTTP veya HTTPS isteklerini kullanarak bir sistemde yönetim komutları yürütmesine izin verebilir. Güvenlik açığının önem derecesi 9,1’dir.
Siber Güvenlik ve Altyapı Güvenliği Ajansı Cuma günü kusuru Bilinen İstismara Uğrayan Güvenlik Açıkları kataloğuna ekledi ve Cuma öğleden sonra geç saatlerde ek kılavuzlar yayınladı.
CISA, internete yönelik arayüzler için hemen yükseltme yapamamaları durumunda HTTP veya HTTPS’yi devre dışı bırakmaya yönelik ek kılavuz uyarı güvenlik ekipleri yayınladı. Güvenlik ekipleri ayrıca, yetkisiz yönetici hesaplarının oluşturulduğuna dair herhangi bir kanıt olup olmadığını görmek için günlükleri incelemelidir.
CISA, güvenlik ekiplerinden teyit edilen herhangi bir olayı veya olağandışı etkinliği operasyon merkezine bildirmelerini istedi.
Birçok araştırmacıya göre yamalı sürüm 8.0.2 28 Ekim’de yayınlandı, ancak şirket geçtiğimiz Cuma gününe kadar resmi bir kılavuz veya CVE yayınlamadı.
watchTowr’un kurucusu ve CEO’su Benjamin Harris, Cybersecurity Dive’a yaptığı açıklamada, güvenlik açığının “saldırganların ayrıcalıklı bir kullanıcı olarak eylemler gerçekleştirmesine olanak tanıdığını” söyledi. Sömürü faaliyeti yoğunlaştı Harris, “temel bir kalıcılık mekanizması olarak yeni bir yönetici hesabı ekleme” konusunu ekledi.
Shadowserver’daki araştırmacılar dünya çapında birkaç yüz vaka gördüklerini ancak bir sonuç alamadıklarını söyledi. şu anda savunmasız örneklerin net bir resmiGüvenli ve müdahaleci olmayan bir şekilde doğru bir tahmin alamamaları nedeniyle.
Defused adlı bir firma, 6 Ekim’de bir kavram kanıtı yayınladı ve istismarın CVE-2022-40684’ün bir çeşidi olabileceği konusunda uyardı.
Fortinet Cuma günü bunu doğruladı güvenlik açığının farkındafaaliyeti öğrenir öğrenmez PSIRT iyileştirme ve müdahale çabalarını etkinleştirdiğini söyledi.
Fortinet’ten bir sözcü Cybersecurity Dive’a şunları söyledi: “Fortinet, müşterilerimizin güvenliğine olan bağlılığımızı ve sorumlu şeffaflık kültürümüzü özenle dengeliyor.” “Bu hedef ve ilkeyi göz önünde bulundurarak, önerilen gerekli eylemler konusunda tavsiyelerde bulunmak için etkilenen müşterilerle doğrudan iletişim kuruyoruz.”
Şirket, sessiz yamalamayla ilgili araştırma kaygıları konusunda özel olarak sorulduğunda yanıt vermedi.
VulnCheck’in güvenlik araştırmalarından sorumlu başkan yardımcısı Caitlin Condon, Fortinet’in bir CVE Numaralandırma Otoritesi olduğunu ancak sessiz yamalar yayınlama konusunda daha önceden bir geçmişe sahip olduğunu belirtti ve bu uygulamanın güvenlik camiasında büyük bir kafa karışıklığı yarattığını ve rakiplere avantaj sağlayabileceğini belirtti.
Condon, “Maalesef Fortinet’in, CVE’leri veya kamuya açık uyarıları yayınlamadan önce güvenlik açıklarına sessizce yama yapma konusunda da kanıtlanabilir bir geçmişi var” dedi Condon, “zafiyetlerin kamuya duyurulmasından önce istismarın başladığı birçok durum da dahil.”