Tehdit aktörleri, dünya çapında Fortinet’in FortiWeb web uygulaması güvenlik duvarında (WAF) bulunan kritik bir kimlik doğrulama atlama güvenlik açığından aktif olarak yararlanıyor ve bu da savunmacıların daha dikkatli olmalarını gerektiriyor.
watchTowr Labs’taki araştırmacılar, kuruluşların ortamlarını savunmasız FortiWeb cihazları için taramasına ve riskleri hızlı bir şekilde azaltmasına yardımcı olmak için tasarlanmış bir Tespit Artefakt Oluşturucu komut dosyası yayınlayarak yanıt verdi.
CVE-2025-52970 olarak takip edilen güvenlik açığı, FortiWeb’deki hatalı parametre kullanımından kaynaklanıyor ve kimliği doğrulanmamış uzaktaki saldırganların hazırlanmış istekler aracılığıyla mevcut herhangi bir kullanıcı olarak oturum açmasına olanak tanıyor.
CVSS puanı 7,7 olan bu işlem, cihaz hakkında kamuya açıklanmayan bazı bilgiler gerektiriyor ancak ayrıcalık yükseltme ve etkilenen sistemlerde olası uzaktan kod yürütme gibi ciddi riskler barındırıyor.
Fortinet, kusuru 8.0.2 ve sonraki sürümlerde yamaladı, ancak Ağustos 2025’te açığa çıkan FortiWeb örneklerini ayrım gözetmeksizin hedef alan kısmi bir kavram kanıtlamasının kamuoyuna açıklanmasının ardından vahşi saldırılarda artış yaşandı.
Güvenlik firmaları düzinelerce güvenlik ihlali bildiriyor ve devam eden istismar kampanyaları nedeniyle acil yama yapılmasının aciliyetinin altını çiziyor.
WatchTowr Labs’in GitHub’da watchTowr-vs-Fortiweb-AuthBypass adresinde barındırılan açık kaynak aracı, bypass mekanizmasını simüle ederek algılamayı basitleştirir. Python betiği benzersiz bir kullanıcı adı ve parola (örneğin, “35f36895”) oluşturur ve hedef IP’ye aşağıdaki gibi bir yararlanma yükü gönderir: python watchTowr-vs-Fortiweb-AuthBypass.py 192.168.1.99.
Başarılı olursa geçici bir kullanıcı oluşturarak güvenlik açığını doğrular ve yöneticileri düzeltmeleri konusunda uyarır. Sina Kheirkhah (@SinSinology) ve Jake Knott (@inkmoro) tarafından yazılan komut dosyası, FortiWeb’in 8.0.2’nin altındaki sürümlerini hedefliyor ve ayrıntılara FortiGuard Labs PSIRT aracılığıyla erişilebiliyor.
Kuruluşlar internete bakan cihazları taramaya, yama uygulamaya ve anormal oturum açma işlemlerini izlemeye öncelik vermelidir. Tedarik zinciri saldırıları geliştikçe bunun gibi araçlar, WAF’lerin ironik bir şekilde giriş noktaları haline geldiği bir tehdit ortamında proaktif savunmayı güçlendirir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
