Fortinet, güvenlik açığını resmi olarak açıklamadan iki haftadan fazla süre önce, istismar edilen bir sıfır gün güvenlik açığını sessizce yamalamış olabilir.
X’te yayınlanan bir gönderide DefusedCyber’a göre, Fortinet’in FortiWeb web uygulaması güvenlik duvarındaki (WAF) CVE-2025-64446, 6 Ekim gibi erken bir tarihte istismar edilmiş olabilir.
Fortinet’in Ekim ayı sonunda FortiWeb 8.0.2’deki 9.8 dereceli güvenlik açığını yamaladığına inanılıyor, ancak 14 Kasım’a kadar bu güvenlik açığından yararlanılan güvenlik açığını açıklayan bir öneri yayınlamadı. CISA, güvenlik açığını Fortinet’in açıklamasıyla aynı gün Bilinen Açıklardan Yararlanan Güvenlik Açıkları (KEV) kataloğuna ekledi.
Bugün geç saatlerde Fortinet, 7.2 dereceli bir OS Command Injection güvenlik açığı olan CVE-2025-58034 adlı başka bir FortiWeb güvenlik açığını açığa çıkardı.
Fortinet Sessiz Yaması Endişeleri Artırıyor
CVE-2025-64446 vakasındaki gecikmeli bildirim, siber güvenlik sektöründeki bazı kişilerde gecikmenin Fortinet müşterilerini dezavantajlı duruma düşürebileceğini söyleyen endişelere yol açtı.
VulnCheck’ten Caitlin Condon bir blog yazısında şunları söyledi: “Güvenlik açıklarını sessizce yamalamak, özellikle daha önce vahşi ortamda istismar edilen cihazlar ve sistemler (FortiWeb dahil) için saldırganlara olanak sağlayan ve savunuculara zarar veren yerleşik bir kötü uygulamadır.”
Condon, “Gizliliği gizleyerek güvenliğin işe yaramadığını zaten biliyoruz; rakipler yeni çıkan ürünleri izliyor ve tedarikçilerin müşterilerine sabit güvenlik açıkları hakkında bilgi verip vermemelerine bakmaksızın yamaları aktif olarak tersine mühendislik yapıyor” diye ekledi Condon. “Popüler teknoloji satıcıları yeni güvenlik sorunlarını iletmede başarısız olduklarında, aynı bilgileri savunmacılardan saklamayı seçerken saldırganlara davetiye çıkarıyorlar.”
Cyber Express, yorum almak için Fortinet’e ulaştı ve herhangi bir yanıtla bu makaleyi güncelleyecek.
CVE-2025-64446 FortiWeb Güvenlik Açığı
CVE-2025-64446, Fortinet FortiWeb 8.0.0 – 8.0.1, FortiWeb 7.6.0 – 7.6.4, FortiWeb 7.4.0 – 7.4.9, FortiWeb 7.2.0 – 7.2.11 ve FortiWeb 7.0.0 – 9.8 dereceli göreceli yol geçiş güvenlik açığıdır 7.0.11.
Güvenlik açığı, bir saldırganın, hazırlanmış HTTP veya HTTPS istekleri aracılığıyla sistemde yönetim komutları yürütmesine olanak tanıyabilir.
Fortinet, bir yükseltme gerçekleştirilene kadar internete bakan arayüzler için HTTP veya HTTPS’nin devre dışı bırakılmasını önerir. Fortinet’in tavsiye belgesinde, “HTTP/HTTPS Yönetim arayüzüne yalnızca en iyi uygulamalara göre dahili olarak erişilebilirse risk önemli ölçüde azalır” denildi.
Shadowserver, muhtemelen yükseltilene kadar saldırıya açık olacak, internete dönük yüzlerce FortiWeb yönetim örneğini gösteriyor.
Yükseltmeler tamamlandıktan sonra Fortinet, FortiWeb müşterilerinin “yapılandırmalarını gözden geçirmelerini ve beklenmedik değişiklikler veya yetkisiz yönetici hesaplarının eklenmesi açısından günlükleri gözden geçirmelerini” öneriyor.
watchTowr, CVE-2025-64446’nın iki güvenlik açığı içerdiğini söyledi: bir yol geçiş güvenlik açığı ve bir kimlik doğrulama atlama güvenlik açığı.
watchTowr, “ayrıcalıklı yönetim işlevlerine erişilmesine izin veren bir güvenlik açığından yararlanmaya çalışan bir tehdit aktörünün kanıtı” olduğunu söylediği bir örnek istek akışı paylaştı.
Örnekte, tehdit aktörü “zayıf bir kalıcılık mekanizması olarak hizmet ederek hedefe ve güvenlik açığı bulunan cihaza idari hesaplar eklemek için güvenlik açığından yararlandı.
watchTowr şunu ekledi: “Açıkça açık olmak gerekirse, bu, savunmasız cihazın tamamen tehlikeye atılmasıdır.”