Dünyanın dört bir yanındaki ağ yöneticileri, CVE-2025-59718 olarak takip edilen kritik Fortinet Tek Oturum Açma (SSO) güvenlik açığının daha önce yamalandığı düşünülen sistemlerde aktif olarak kullanıldığına dair güvenilir raporların ardından bu sabah çabalıyor.
İlk olarak Aralık 2025’te açıklanan güvenlik açığı, kimliği doğrulanmamış saldırganların SAML iddialarını taklit ederek FortiGate güvenlik duvarlarındaki kimlik doğrulamasını atlamasına olanak tanıyor. O dönemde Fortinet, 7.4 sürüm dalı için kesin düzeltme olarak FortiOS 7.4.9 sürümünü yayınlamıştı. Ancak siber güvenlik topluluğundan gelen veriler, bu güncellemenin saldırganlara kapıyı kapatmakta başarısız olabileceğini öne sürüyor.
FortiOS’ta “Zombi” Güvenlik Açığı
Son 48 saat içinde Reddit gibi topluluk merkezlerinde, doğrulanmış yöneticilerin sözde güvenli FortiOS 7.4.9 çalıştıran cihazlardaki başarılı ihlalleri gösteren günlükleri paylaştığı bir rapor dalgası ortaya çıktı.
Saldırı düzeni belirgin ve endişe verici. Mağdurlar, bu özelliği kendi yönetimleri için aktif olarak kullanmasalar bile, FortiCloud SSO mekanizması aracılığıyla yetkisiz girişlerin gözlemlendiğini bildiriyor. Erişim elde edildikten sonra saldırganlar, SSO hatasından bağımsız kalıcılık sağlamak için genellikle “yardım masası” veya benzer genel terimler olarak adlandırılan bir yerel yönetici hesabı oluşturur.
Olayın düzeltilmiş kayıtlarını paylaşan hayal kırıklığına uğramış bir yönetici, “30 Aralık’tan beri 7.4.9’dayız” diye yazdı. “SIEM’imiz, yerel bir yönetici hesabının oluşturulduğunu tespit etti. Saldırı vektörü, orijinal CVE-2025-59718 istismarına tamamen benziyor ancak yamalı ürün yazılımına aykırı.
Teknik Karışıklık ve Geçici Çözümler
Bu kusurun 7.4.9 sürümünde de devam etmesi, ilk yamanın eksik olduğu veya saldırganların azaltma mantığında bir bypass bulduğu yönünde spekülasyonlara yol açtı. Bazı kullanıcılar, Fortinet desteğinin sorunu özel olarak kabul ettiğini, bu da güvenlik açığının 7.4.10 gibi gelecek sürümlerde bile devam edebileceğini ima ettiğini ancak bu durumun resmi kamu tavsiyeleri tarafından doğrulanmadığını bildirdi.
Bu istismar, bir cihaz FortiCloud’a kaydedildiğinde genellikle varsayılan olarak etkinleştirilen “FortiCloud SSO kullanarak yönetici oturum açmaya izin ver” ayarına dayanır.
Güvenlik uzmanları artık bu spesifik vektör için “yamaya güvenme” yaklaşımını öneriyor. Şu anda profesyonel çevrelerde dolaşan garantili tek önlem, yüklü donanım yazılımı sürümüne bakılmaksızın, savunmasız özelliğin Komut Satırı Arayüzü (CLI) aracılığıyla manuel olarak devre dışı bırakılmasıdır.
Yöneticilerin aşağıdaki komutu hemen tüm FortiGate birimlerinde çalıştırmaları tavsiye edilir:
config system global
set admin-forticloud-sso-login disable
end
Uzlaşma Göstergeleri
FortiOS 7.4.x (sürüm 7.4.9 dahil) çalıştıran kuruluşlar, aşağıdaki etkinlik için sistem olay günlüklerini derhal denetlemelidir:
Beklenmeyen SSO Girişleri: Yöntemin geçerli olduğu başarılı oturum açma işlemleri için günlükleri filtreleyin
forticloud-ssoözellikle tanınmayan genel IP adreslerinden.Yeni Kullanıcı Oluşturma: Aşağıdaki gibi adlara sahip yeni yönetici hesapları oluşturulup oluşturulmadığını kontrol edin:
helpdesk,supportveyafortinet-admin.Yapılandırma Dışa Aktarımları: SSO oturum açma işleminden kısa bir süre sonra tam sistem yapılandırmasının indirildiğini gösteren günlükleri arayın.
Resmi yama döngüsüne olan güven sarsıldıkça, topluluk bir kez daha ilk savunma hattı olarak hizmet ediyor, Uzlaşma Göstergelerini (IOC’ler) ve geçici çözümleri satıcıların bülten yayınlayabileceğinden daha hızlı paylaşıyor. Şimdilik SSO özelliğini devre dışı bırakın veya riske girin.