Tehdit aktörleri, güvenlik duvarlarında ve proxy’lerde FortiCloud SSO kimlik doğrulamasını atlamak için CVE-2025-59718 ve CVE-2025-59719 Fortinet’in kritik güvenlik açıklarından aktif olarak yararlanıyor.
Bu kusurlar, kimliği doğrulanmamış saldırganların kötü amaçlı SAML mesajları oluşturmasına ve internete açık cihazlarda yönetici erişimi elde etmesine olanak tanır.
Fortinet, bunları 9 Aralık 2025’te CVSS puanı 9,8 ile açıkladı ve kısa süre sonra CISA, CVE-2025-59718’i Bilinen Yararlanılan Güvenlik Açıkları kataloğuna ekledi.
Sorunlar, FortiCloud SSO’daki hatalı kriptografik imza doğrulamasından (CWE-347) kaynaklanıyor.
Saldırganlar, SSO etkinleştirildiğinde FortiOS, FortiProxy, FortiSwitchManager ve FortiWeb gibi ürünleri genellikle FortiCare kaydı sırasında otomatik olarak hedef alır.
Suistimal, “yardım masası” gibi arka kapı hesapları oluşturur veya “yönetici” olarak oturum açar, ardından kırılmaya karşı savunmasız karma kimlik bilgileri içeren yapılandırma dışa aktarımları yapılır.
Vahşi Doğada Sömürü
Reddit raporları ve Arctic Wolf’un FortiGate 7.4.9 cihazlarında aynı modellerin tespit edilmesiyle 12 Aralık 2025’ten itibaren etkinlik arttı.
Belirli IP’lerden gelen saldırganlar, SSO oturum açma işlemlerini gerçekleştirdi ve yapılandırmaları indirdi. 25.000’den fazla cihaz SSO’nun etkin olduğu çevrimiçi ortamda kullanıma sunuldu.
| Ürün | Etkilenen Sürümler | Sabit Versiyonlar |
|---|---|---|
| FortiOS 7.6 | 7.6.0–7.6.3 | 7.6.4+ |
| FortiOS 7.4 | 7.4.0–7.4.8 | 7.4.9+ |
| FortiProxy 7.4 | 7.4.0–7.4.10 | 7.4.11+ |
| FortiWeb 7.6 | 7.6.0–7.6.4 | 7.6.5+ |
FortiOS 6.4, FortiWeb 7.0/7.2 etkilenmez.
Azaltma Adımları
FortiCloud SSO’yu CLI aracılığıyla hemen devre dışı bırakın:
config system global
set admin-forticloud-sso-login disable
end. Acilen yama yapın, şüpheli yöneticiler için günlükleri denetleyin, kimlik bilgilerini döndürün ve yönetimi güvenilir ağlarla kısıtlayın. IOC’ler eşleşirse uzlaşmayı varsayalım
Bu kampanya, CVE-2024-21762 gibi Fortinet’in benzer istismarlarını takip eden, ağ cihazlarını hedef alan daha geniş trendlerle uyumludur.
Arctic Wolf, arama motorları aracılığıyla açıkta kalan güvenlik duvarlarına tekrarlanan saldırıları not ederek, gerçek zamanlı yönetici değişikliği uyarıları için SIEM entegrasyonunu teşvik ediyor.
Ocak 2026 itibarıyla, tehdit aktörlerinin yükseltilmiş sistemlere karşı taktiklerini geliştirmesiyle, istismar yamalara rağmen devam ediyor.
Kuruluşlar, en az ayrıcalıklı erişim ve sıfır güven segmentasyonuna vurgu yapan zayıf SSO yapılandırmalarından kaynaklanan artan risklerle karşı karşıyadır.
Fortinet, PSIRT’ten Carl Windsor liderliğindeki adli tıp çalışmalarına devam ederek gelecek sürümlerde daha iyi kayıt tutma sözü veriyor. CISA KEV güncellemelerini ve satıcı tavsiyelerini yakından izleyin.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.