Fortinet müşterileri, saldırganların yamalı güvenlik duvarlarını hacklemek için önceden düzeltilen kritik bir FortiGate kimlik doğrulama güvenlik açığına (CVE-2025-59718) yönelik yama bypassından yararlandığını görüyor.
Etkilenen yöneticilerden biri, Fortinet’in en son FortiOS sürümünün (7.4.10) bu kimlik doğrulama atlama güvenlik açığını tam olarak ele almadığını doğruladığını ve bu güvenlik açığının Aralık ayı başlarında FortiOS 7.4.9’un piyasaya sürülmesiyle düzeltilmesi gerektiğini iddia ettiğini söyledi.
Fortinet’in ayrıca güvenlik açığını tamamen düzeltmek için önümüzdeki günlerde FortiOS 7.4.11, 7.6.6 ve 8.0.0’ı piyasaya sürmeyi planladığı bildiriliyor.
Yönetici, “7.4.9 (FGT60F) üzerinde çalışan FortiGate’lerimizden birinde kötü niyetli bir SSO girişi yaptık. Yerel yönetici hesabının oluşturulduğunu tespit eden bir SIEM’imiz var. Şimdi, küçük bir araştırma yaptım ve görünen o ki birisi CVE-2025-59718’e geldiğinde tam olarak böyle görünüyordu. Ancak 30 Aralık’tan beri 7.4.9’dayız” dedi.
Müşteri, yönetici kullanıcının 104.28.244.114 IP adresinden [email protected] SSO girişinden oluşturulduğunu gösteren günlükleri paylaştı. Bu günlükler, siber güvenlik şirketi Arctic Wolf tarafından Aralık 2025’te görülen CVE-2025-59718’in önceki istismarına benziyordu; bu saldırı, saldırganların yönetici hesaplarını tehlikeye atmak için kötü niyetli olarak hazırlanmış SAML mesajları yoluyla bu güvenlik açığından aktif olarak yararlandığını bildirdi.
“Aynı aktiviteyi gözlemledik. Ayrıca 7.4.9’u da çalıştırıyoruz. Aynı kullanıcı girişi ve IP adresi. “Yardım masası” adında yeni bir sistem yöneticisi kullanıcısı oluşturduk. Desteği içeren açık bir bildirimimiz var. Güncelleme: Fortinet geliştirici ekibi, güvenlik açığının v7.4.10’da devam ettiğini veya düzeltilmediğini doğruladı,” diye ekledi bir başkası.
BleepingComputer, bu raporlarla ilgili sorular için bu hafta birçok kez Fortinet’e ulaştı ancak şirket henüz yanıt vermedi.
Fortinet tam yamalı bir FortiOS sürümü sunana kadar yöneticilere, sistemlerini saldırılara karşı korumak için güvenlik açığı bulunan FortiCloud oturum açma özelliğini (etkinleştirilmişse) geçici olarak devre dışı bırakmaları önerilir.
FortiCloud oturum açma işlemini devre dışı bırakmak için Sistem -> Ayarlar’a gitmeniz ve “FortiCloud SSO kullanarak yönetici oturum açmaya izin ver” seçeneğini Kapalı olarak değiştirmeniz gerekir. Ancak aşağıdaki komutları komut satırı arayüzünden de çalıştırabilirsiniz:
config system global
set admin-forticloud-sso-login disable
endNeyse ki, Fortinet’in orijinal tavsiye belgesinde açıkladığı gibi, saldırılarda hedeflenen FortiCloud çoklu oturum açma (SSO) özelliği, cihaz FortiCare’e kayıtlı olmadığında varsayılan olarak etkinleştirilmiyor, bu da savunmasız cihazların toplam sayısını azaltacaktır.
Ancak Shadowserver, Aralık ortasında FortiCloud SSO’nun etkinleştirildiği 25.000’den fazla Fortinet cihazının çevrimiçi olarak açığa çıktığını tespit etti. Şu anda yarıdan fazlası güvence altına alınmış durumda ve Shadowserver şu anda İnternet üzerinden erişilebilen 11.000’den biraz fazlasını takip ediyor.
CISA ayrıca aktif olarak yararlanılan güvenlik açıkları listesine CVE-2025-59718 FortiCloud SSO kimlik doğrulama atlama kusurunu da ekleyerek federal kurumların bir hafta içinde yama yapmalarını emretti.
Bilgisayar korsanları artık, yama uygulanmamış cihazlarda kök ayrıcalıklarıyla kod yürütme elde etmelerine olanak tanıyan, kamuya açık kavram kanıtı yararlanma koduyla kritik bir Fortinet FortiSIEM güvenlik açığından da aktif olarak yararlanıyor.
Bütçe mevsimi! 300’den fazla CISO ve güvenlik lideri, önümüzdeki yıl için nasıl planlama, harcama ve önceliklendirme yaptıklarını paylaştı. Bu rapor onların içgörülerini derleyerek okuyucuların stratejileri karşılaştırmasına, ortaya çıkan trendleri belirlemesine ve 2026’ya girerken önceliklerini karşılaştırmasına olanak tanıyor.
Üst düzey liderlerin yatırımı nasıl ölçülebilir etkiye dönüştürdüğünü öğrenin.