Fortinet’in ürün portföyünde yakın zamanda keşfedilen iki güvenlik açığı, bu hafta ABD’nin ulusal siber ajansı tarafından yürütülen Bilinen İstismara Uğrayan Güvenlik Açıkları (KEV) kataloğuna eklendikten sonra savunmacılar için tatil öncesi uyarı yapılmasına yol açtı.
CVE-2025-59718 ve CVE-2025-59719 olarak izlenen iki kusur, bir tehdit aktörünün, kötü niyetle hazırlanmış bir güvenlik onayı işaretleme dili (SAML) mesajı aracılığıyla FortiCloud tek oturum açma (SSO) kimlik doğrulamasını atlamasına olanak tanıyor. Fortinet’e göre bunlar FortiOS, FortiWeb, FortiProxy ve FortiSwitchManager’ın birden fazla sürümünde mevcut.
Güvenlik açığı bulunan özelliğin fabrika ayarlarında varsayılan olarak etkinleştirilmemesine rağmen, müşteri yöneticisi bunu açıkça devre dışı bırakmadığı sürece, bir cihazın GUI aracılığıyla FortiCare teknik servisine kaydedilmesi durumunda otomatik olarak etkinleştirildiği unutulmamalıdır.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) yaptığı açıklamada şunları söyledi: “Bu tür bir güvenlik açığı, kötü niyetli siber aktörler için sık sık yapılan bir saldırı vektörüdür ve federal kuruluş için önemli riskler oluşturur.”
İlk olarak 9 Aralık’ta Fortinet tarafından bildirilen raporda, birden fazla üçüncü taraf şu anda CVE-2025-59718 ve CVE-2025-59719’a yönelik istismar faaliyetlerinin devam ettiğini bildiriyor.
GitHub’a bir kavram kanıtlama istismarı gönderildikten sonra bal küplerine karşı çok sayıda istismar girişimini yakalayan Rapid7 analistlerine göre, gözlemlenen saldırıların çoğunda saldırganların yönetici kullanıcı olarak kimlik doğrulaması yaptığı ve hedefin sistem yapılandırma dosyasını hemen indirdiği görüldü. Bunlar genellikle karma kimlik bilgileri içerebilir.
“Sonuç olarak, uzlaşma belirtileri gösteren herhangi bir kuruluş [IOCs] kimlik bilgilerinin açığa çıktığını varsaymalı ve buna göre yanıt vermelidir. Bir satıcı yaması mevcut ve kuruluşlar, iyileştirme çalışmaları devam ederken FortiCloud SSO yönetici girişini devre dışı bırakarak anında savunma önlemi alabilirler” dedi Rapid7 ekibi.
Arctic Wolf araştırmacıları, Fortinet’in mevcut güncellemelerini uygulamanın yanı sıra, etkilendiklerini tespit eden kuruluşların güvenlik duvarı kimlik bilgilerini bir önlem olarak, ele geçirilmiş ve sızdırılmış olabileceklerini göz önünde bulundurarak sıfırlamaları ve güvenlik duvarı ve sanal özel ağ (VPN) cihazlarına erişimi güvenilir dahili kullanıcılarla sınırlamaları gerektiğini söyledi.
Ürünleri birçok ağa derinlemesine entegre olduğundan Fortinet, kurbanlarının daha geniş BT ortamlarına ilk erişim noktası olarak sıklıkla tehdit aktörleri tarafından hedef alınıyor; bu nedenle, en yeni kusur çiftine karşı daha fazla girişimde bulunulması oldukça muhtemel görülüyor.
Noel hediyeleri
Fortinet kimlik doğrulama atlama sorunlarının yanı sıra CISA, bayram tatili öncesinde KEV kataloğuna birkaç yüksek profilli kusur daha ekledi.
Bunlar arasında, bir tedarik zinciri siber saldırısında yetkisiz değişiklikler yapıldıktan sonra ASUS Live Update’te ortaya çıkan yerleşik bir kötü amaçlı kod güvenlik açığı olan CVE-2025-69374 yer alıyor.
AsyncOS yazılımı, Cisco Güvenli E-posta Ağ Geçidi ve Güvenli E-posta dahil olmak üzere çok sayıda Cisco ürünü ve Web Yöneticisi cihazları, CVE-2025-20393 olarak izlenen ve bir tehdit aktörünün kök ayrıcalıklarıyla rastgele komutlar yürütebileceği bir giriş doğrulama güvenlik açığı nedeniyle risk altındadır.
Son olarak SonicWall kullanıcıları, SMA1000 serisi güvenli erişim ağ geçitlerinin cihaz yönetim konsolunda ayrıcalık yükseltmeye olanak sağlayan eksik bir yetkilendirme kusuru olan CVE-2025-40602’yi ele almalıdır.
Bu yazının yazıldığı sırada yukarıda listelenen güvenlik açıklarından hiçbirinin fidye yazılımı saldırılarında kullanıldığı gözlemlenmedi.