Fortinet, CVE-2026-24858 olarak takip edilen yeni ve aktif olarak kullanılan kritik FortiCloud tek oturum açma (SSO) kimlik doğrulama atlama güvenlik açığını doğruladı ve güvenlik açığı bulunan cihaz yazılımı sürümlerini çalıştıran cihazlardan FortiCloud SSO bağlantılarını engelleyerek sıfır gün saldırılarını azalttığını söyledi.
Bu kusur, saldırganların FortiCloud SSO’yu kötüye kullanarak diğer müşterilere kayıtlı FortiOS, FortiManager ve FortiAnalyzer cihazlarına, bu cihazlar daha önce açıklanan bir güvenlik açığına karşı tamamen yamalanmış olsa bile yönetim erişimi elde etmesine olanak tanıyor.
Onay, Fortinet müşterilerinin 21 Ocak’ta FortiGate güvenlik duvarlarının ele geçirildiğini ve saldırganların mevcut en yeni donanım yazılımını çalıştıran cihazlarda FortiCloud SSO aracılığıyla yeni yerel yönetici hesapları oluşturduğunu bildirmelerinin ardından geldi.
Saldırıların başlangıçta, daha önce istismar edilen ve Aralık 2025’te yamalanan kritik bir FortiCloud SSO kimlik doğrulama atlama kusuru olan CVE-2025-59718’e yönelik bir yama atlama yoluyla olduğu düşünülüyordu.
Fortinet yöneticileri, bilgisayar korsanlarının [email protected] e-posta adresini kullanarak FortiCloud SSO aracılığıyla FortiGate cihazlarına giriş yaptıklarını ve ardından yeni yerel yönetici hesapları oluşturduklarını bildirdi.
Etkilenen müşteriler tarafından paylaşılan günlükler, Aralık ayındaki istismar sırasında gözlemlenen benzer göstergeleri gösterdi.
22 Ocak’ta siber güvenlik firması Arctic Wolf, saldırıların otomatik göründüğünü, yeni hileli yönetici ve VPN özellikli hesapların oluşturulduğunu ve güvenlik duvarı yapılandırmalarının saniyeler içinde dışarı sızdığını söyleyerek saldırıları doğruladı. Arctic Wolf, saldırının Aralık ayında CVE-2025-59718’i kullanan önceki bir kampanyaya benzer göründüğünü söyledi.
Fortinet alternatif saldırı yolunu doğruladı
23 Ocak’ta Fortinet, saldırganların tamamen yama uygulanmış sistemlerde bile kalan alternatif bir kimlik doğrulama yolunu istismar ettiğini doğruladı.
Fortinet CISO’su Carl Windsor, şirketin en son donanım yazılımını çalıştıran cihazların güvenliğinin ihlal edildiği vakaları gözlemlediğini ve bunun yeni bir saldırı yolunun istismar edildiğini gösterdiğini söyledi.
Fortinet, istismarın yalnızca FortiCloud SSO aracılığıyla görüldüğünü söylese de sorunun diğer SAML tabanlı SSO uygulamaları için de geçerli olduğu konusunda uyardı.
Fortinet, “Şu anda yalnızca FortiCloud SSO’nun kullanımı gözlemlenmiş olsa da, bu sorunun tüm SAML SSO uygulamaları için geçerli olduğunu belirtmek önemlidir” dedi.
O dönemde Fortinet, müşterilere cihazlarına yönetim erişimini kısıtlamalarını ve bir hafifletme yöntemi olarak FortiCloud SSO’yu devre dışı bırakmalarını tavsiye ediyordu.
Bildirimde Fortinet’in yamalar geliştirilirken saldırıları azaltmak için harekete geçtiği belirtiliyor.
- Açık 22 OcakFortinet, saldırganlar tarafından kötüye kullanılan FortiCloud hesaplarını devre dışı bıraktı.
- Açık 26 OcakFortinet, daha fazla kötüye kullanımı önlemek için FortiCloud SSO’yu FortiCloud tarafında küresel olarak devre dışı bıraktı.
- Açık 27 OcakFortiCloud SSO erişimi geri yüklendi ancak kısıtlandı, böylece güvenlik açığı bulunan ürün yazılımını çalıştıran cihazlar artık SSO aracılığıyla kimlik doğrulaması yapamıyor.
Fortinet, sunucu tarafındaki bu değişikliğin, etkilenen cihazlarda FortiCloud SSO etkin kalsa bile istismarı etkili bir şekilde engellediğini, dolayısıyla yamalar yayınlanana kadar istemci tarafında yapılması gereken hiçbir şeyin olmadığını söylüyor.
27 Ocak’ta Fortinet ayrıca kusura CVE-2026-24858 atayan resmi bir PSIRT tavsiyesi yayınladı ve onu CVSS puanı 9,4 ile kritik olarak derecelendirdi.
Güvenlik açığı, FortiCloud SSO’daki hatalı erişim kontrolünden kaynaklanan “Alternatif Yol veya Kanal Kullanarak Kimlik Doğrulamanın Atlanması”dır.
Uyarıya göre, FortiCloud hesabına ve kayıtlı bir cihaza sahip saldırganlar, FortiCloud SSO’nun etkinleştirilmesi durumunda diğer müşterilerin cihazlarında kimlik doğrulaması yapabilir.
FortiCloud SSO varsayılan olarak etkin olmasa da Fortinet, daha sonra manuel olarak devre dışı bırakılmadığı sürece bir cihaz FortiCare’e kaydedildiğinde otomatik olarak açılacağını söylüyor.
Fortinet, güvenlik açığının, 22 Ocak’ta kilitlenen aşağıdaki iki kötü amaçlı FortiCloud SSO hesabı tarafından vahşi ortamda kullanıldığını doğruladı.
[email protected]
[email protected]Fortinet, bir cihazın güvenliği ihlal edildiğinde müşteri yapılandırma dosyalarını indireceklerini ve aşağıdaki yönetici hesaplarından birini oluşturacaklarını söylüyor:
audit
backup
itadmin
secadmin
support
backupadmin
deploy
remoteadmin
security
svcadmin
systemBağlantıların aşağıdaki IP adreslerinden yapıldığı görüldü:
104.28.244.115
104.28.212.114
104.28.212.115
104.28.195.105
104.28.195.106
104.28.227.106
104.28.227.105
104.28.244.114
Additional IPs observed by a third party, not Fortinet:
37[.]1.209.19
217[.]119.139.50Şirket, FortiOS, FortiManager ve FortiAnalyzer dahil olmak üzere yamaların hala geliştirilme aşamasında olduğunu söylüyor.
O zamana kadar FortiCloud SSO, savunmasız cihazlardan oturum açmayı engelliyor, dolayısıyla yöneticilerin istismarı önlemek için bu özelliği devre dışı bırakmasına gerek yok.
Ancak Fortinet, bunun diğer SAML SSO uygulamalarında kötüye kullanılabileceğini, yöneticilerin şu komutla SSO özelliğini şimdilik devre dışı bırakmak isteyebileceğini söyledi:
config system global
set admin-forticloud-sso-login disable
endFortinet ayrıca FortiWeb ve FortiSwitch Manager’ın bu kusurdan etkilenip etkilenmediğini araştırdığını da belirtti.
Şirket, günlüklerinde yukarıdaki güvenlik ihlali göstergelerini tespit eden müşterilerin, cihazlarına tamamen zarar verilmiş gibi davranması gerektiği konusunda uyarıyor.
Fortinet, tüm yönetici hesaplarının gözden geçirilmesini, konfigürasyonların temiz olduğu bilinen yedeklerden geri yüklenmesini ve tüm kimlik bilgilerinin döndürülmesini önerir.
Bütçe mevsimi! 300’den fazla CISO ve güvenlik lideri, önümüzdeki yıl için nasıl planlama, harcama ve önceliklendirme yaptıklarını paylaştı. Bu rapor onların içgörülerini derleyerek okuyucuların stratejileri karşılaştırmasına, ortaya çıkan trendleri belirlemesine ve 2026’ya girerken önceliklerini karşılaştırmasına olanak tanıyor.
Üst düzey liderlerin yatırımı nasıl ölçülebilir etkiye dönüştürdüğünü öğrenin.