Fortinet’in FortiGate cihazları, üretim ortamlarında aktif olarak istismar edilen iki kritik kimlik doğrulama atlama güvenlik açığı nedeniyle anında tehditle karşı karşıyadır.
Fortinet, 9 Aralık 2025’te CVE-2025-59718 ve CVE-2025-59719 için FortiCloud SSO kimlik doğrulama mekanizmalarındaki kritik kusurları tanımlayan tavsiyeler yayınladı.
Bu güvenlik açıkları, kimliği doğrulanmamış saldırganların, etkilenen cihazlarda FortiCloud SSO etkinleştirildiğinde hazırlanmış SAML mesajları aracılığıyla SSO oturum açma korumalarını atlamasına olanak tanır.
12 Aralık 2025’ten itibaren Arctic Wolf, dünya çapındaki FortiGate cihazlarına karşı kötü amaçlı Tek Oturum Açma (SSO) oturum açma bilgilerini kullanan koordineli izinsiz girişleri tespit etti.
Güvenlik Açığı Genel Bakış
| CVE Kimliği | CVSS Puanı | Şiddet | Saldırı Vektörü | Kimlik Doğrulaması Gerekli |
|---|---|---|---|---|
| CVE-2025-59718 | 9.8 | Kritik | Ağ/Kimlik Doğrulanmamış | HAYIR |
| CVE-2025-59719 | 9.8 | Kritik | Ağ/Kimlik Doğrulanmamış | HAYIR |
FortiOS, FortiWeb, FortiProxy ve FortiSwitchManager dahil olmak üzere çok sayıda Fortinet ürün grubu savunmasız durumda.
FortiCloud SSO fabrika ayarlarında varsayılan olarak devre dışı bırakılırken, cihazları GUI aracılığıyla FortiCare aracılığıyla kaydeden yöneticiler, kayıt sırasında açıkça devre dışı bırakılmadığı sürece SSO’yu otomatik olarak etkinleştirir.
Tehdit aktörleri, birden fazla barındırma sağlayıcısı tarafından sağlanan altyapıdaki bu güvenlik açıklarından yararlanıyor.
Kötü amaçlı SSO oturum açma işlemleri ağırlıklı olarak belirlenen yedi IP adresinden gelen yönetici hesaplarını hedefler.
Başarılı kimlik doğrulamanın ardından saldırganlar, muhtemelen kimlik bilgileri karmalarını ve ağ mimarisi ayrıntılarını arayarak cihaz yapılandırmalarını GUI arayüzü aracılığıyla sistematik olarak dışarı aktarır.
Etkilenen Ürünler ve Yamalar
| Ürün | Savunmasız Sürümler | Yamalı Sürüm |
|---|---|---|
| FortiOS 7.6 | 7.6.0–7.6.3 | 7.6.4+ |
| FortiOS 7.4 | 7.4.0–7.4.8 | 7.4.9+ |
| FortiOS 7.2 | 7.2.0–7.2.11 | 7.2.12+ |
| FortiOS 7.0 | 7.0.0–7.0.17 | 7.0.18+ |
| FortiProxy 7.6 | 7.6.0–7.6.3 | 7.6.4+ |
| FortiProxy 7.4 | 7.4.0–7.4.10 | 7.4.11+ |
| FortiWeb 8.0 | 8.0.0 | 8.0.1+ |
FortiOS 6.4, FortiWeb 7.0 ve FortiWeb 7.2 bu güvenlik açıklarından etkilenmez.
Kuruluşların üç kritik iyileştirme adımına öncelik vermesi gerekir. Öncelikle etkilenen tüm Fortinet ürünlerini derhal yamalı sürümlere yükseltin.
İkinci olarak, kötüye kullanımdan şüpheleniliyorsa, saldırganlar dışarı aktarılan yapılandırmalardan karma kimlik bilgileri elde etmiş olabileceğinden, tüm güvenlik duvarı yöneticisi kimlik bilgilerini sıfırlayın.
Üçüncüsü, yönetim arayüzü erişimini yalnızca güvenilir dahili ağlarla sınırlayarak internete yönelik istismar girişimlerine maruz kalmayı ortadan kaldırın.
Geçici bir çözüm olarak, yama işlemi tamamlanana kadar FortiCloud SSO özelliğini Sistem Ayarları veya CLI komutları aracılığıyla devre dışı bırakın.
Kuruluşlar, bilinmeyen IP adreslerinden kaynaklanan şüpheli yönetici oturum açma bilgilerini izlemeli ve GUI arayüzleri aracılığıyla yapılandırma aktarımlarına yönelik uyarıları yapılandırmalıdır.
Sıfır dokunuşla yararlanma, otomatik yönetici hesabı hedefleme ve doğrudan yapılandırma erişiminin birleşimi, bu kampanyayı son derece tehlikeli hale getiriyor. Ağ güvenliğinin ihlal edilmesini önlemek için derhal harekete geçilmesi önemlidir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.