Yöneticilerin tamamen yamalı güvenlik duvarlarının saldırıya uğradığını bildirmeye başlamasından günler sonra Fortinet, Aralık ayı başından bu yana zaten yamalı olması gereken kritik bir FortiCloud SSO kimlik doğrulama atlama güvenlik açığını tamamen ortadan kaldırmak için çalıştığını doğruladı.
Bu, Fortinet müşterilerinden gelen, tehdit aktörlerinin tamamen yamalı güvenlik duvarlarını tehlikeye atmak için CVE-2025-59718 güvenlik açığına yönelik yama bypassından yararlandığına dair bir dizi raporun ardından geldi.
Siber güvenlik şirketi Arctic Wolf Çarşamba günü yaptığı açıklamada, kampanyanın 15 Ocak’ta saldırganların VPN erişimi olan hesaplar oluşturması ve otomatik saldırılar gibi görünen güvenlik duvarı yapılandırmalarını saniyeler içinde çalmasıyla başladığını söyledi. Ayrıca saldırıların, Fortinet ürünlerindeki CVE-2025-59718 kritik güvenlik açığının açığa çıkmasının ardından Aralık ayında belgelediği olaylara çok benzediğini de sözlerine ekledi.
Perşembe günü Fortinet, devam eden CVE-2025-59718 saldırılarının Aralık ayındaki kötü amaçlı faaliyetlerle eşleştiğini ve şu anda kusuru tamamen ortadan kaldırmak için çalıştığını belirterek bu raporları nihayet doğruladı.
Etkilenen Fortinet müşterileri ayrıca, saldırganların 104.28.244.114 IP adresinde [email protected] adresinden SSO girişi yaptıktan sonra yönetici kullanıcılar oluşturduğunu gösteren günlükler paylaştı. Bu kayıtlar, Arctic Wolf’un devam eden FortiGate saldırıları ve Aralık ayındaki vahşi saldırıları analiz ederken tespit ettiği güvenlik ihlali göstergeleriyle ve Fortinet tarafından Perşembe günü paylaşılanlarla eşleşiyor.
Fortinet Bilgi Güvenliği Baş Sorumlusu (CISO) Carl Windsor, “Son zamanlarda az sayıda müşteri, cihazlarında önceki soruna çok benzeyen beklenmedik oturum açma etkinliği gerçekleştiğini bildirdi. Ancak son 24 saat içinde, saldırı sırasında en son sürüme tamamen yükseltilmiş bir cihazda istismarın olduğu birkaç vaka tespit ettik, bu da yeni bir saldırı yolu öneriyor” dedi.
“Fortinet ürün güvenliği sorunu belirledi ve şirket bu durumu düzeltmek için bir düzeltme üzerinde çalışıyor. Düzeltme kapsamı ve zaman çizelgesi mevcut olduğunda bir öneri yayınlanacaktır. Şu anda yalnızca FortiCloud SSO’dan yararlanılması gözlemlenmiş olsa da bu sorunun tüm SAML SSO uygulamaları için geçerli olduğunu belirtmek önemlidir.”
Fortinet: Yönetici erişimini kısıtlayın, FortiCloud SSO’yu devre dışı bırakın
Fortinet, CVE-2025-59718 güvenlik açığını tam olarak giderene kadar Windsor, müşterilere, cihazların yönetim arayüzlerine erişebilen IP adreslerini sınırlayan bir yerel giriş politikası uygulayarak İnternet üzerinden uç ağ cihazlarına yönetim erişimini kısıtlamalarını tavsiye etti.
Yöneticiler ayrıca Fortinet cihazlarında FortiCloud SSO özelliğini Sistem -> Ayarlar -> Geçiş bölümüne gidip “FortiCloud SSO kullanarak yönetici oturum açmaya izin ver” seçeneğini devre dışı bırakarak devre dışı bırakmalıdır.
Cihazlarını istismar sonrası kanıt açısından kontrol ederken IOC’lerden herhangi birini tespit eden Fortinet müşterilerine, “sistemi ve konfigürasyonu tehlikeye atılmış olarak değerlendirmeleri, kimlik bilgilerini (herhangi bir LDAP/AD hesabı dahil) döndürmeleri ve konfigürasyonlarını bilinen bir temiz sürümle geri yüklemeleri tavsiye ediliyor.
İnternet güvenliği gözlemcisi Shadowserver artık FortiCloud SSO’nun etkin olduğu, çevrim içi kullanıma açık yaklaşık 11.000 Fortinet cihazını izliyor. CISA ayrıca 16 Aralık’ta aktif olarak yararlanılan güvenlik açıkları listesine CVE-2025-59718’i ekledi ve federal kurumların bir hafta içinde yama yapmalarını emretti.
BleepingComputer, devam eden bu saldırılarla ilgili sorular için bu hafta birkaç kez Fortinet’e ulaştı ancak şirket henüz yanıt vermedi.
MCP (Model Bağlam Protokolü), LLM’leri araçlara ve verilere bağlamak için standart haline geldikçe, güvenlik ekipleri bu yeni hizmetleri güvende tutmak için hızla hareket ediyor.
Bu ücretsiz yardımcı sayfa, bugün kullanmaya başlayabileceğiniz en iyi 7 uygulamayı özetlemektedir.