Güvenlik araştırmacıları, Fortinet’in Fortisiem platformunda, uzak saldırganların kimlik doğrulaması yapmadan yetkisiz komutlar yürütmesini sağlayan kritik bir güvenlik açığı keşfettiler.
CVE-2025-25256 olarak izlenen kusur, maksimum CVSS skoru 9.8 elde etti ve pratik istismar kodu vahşi doğada dolaşan keşfedildiği için dünya çapında kuruluşlar için derhal bir tehdit oluşturuyor.
Güvenlik açığı ayrıntıları ve teknik etki
Güvenlik açığı, CWE-78 (OS komut enjeksiyonu) olarak sınıflandırılan OS komutlarında kullanılan özel elemanların yanlış nötralizasyonundan kaynaklanmaktadır.
Bu güvenlik kusuru, FortiGuard’ın raporuna göre, gerekli olmayan saldırganların etkilenen Fortisiem sistemlerine özel olarak hazırlanmış CLI talepleri aracılığıyla keyfi kod veya komutlar yürütmesine izin verir.
Saldırı vektörünün uzak doğası, tehdit aktörleri daha önce erişim veya kimlik bilgileri gerektirmeden internet üzerinden savunmasız sistemlerden yararlanabildiğinden, özellikle tehlikeli hale getirir.
Bu güvenlik açığının başarılı bir şekilde kullanılması, saldırganlara SIEM altyapısı üzerinde tam kontrol sağlayabilir, bu da potansiyel olarak güvenlik günlüklerini manipüle etmelerine, izleme yeteneklerini devre dışı bırakmalarına veya uzlaşılan sistemi ağ içindeki yanal hareket için bir başlatma noktası olarak kullanmalarına izin verebilir.
Güvenlik açığı, Fortinet’in etkilenen her sürüm için özel yükseltme yolları sağladığı birden fazla Fortisiem sürümünü etkiler:
| Versiyon | Etkilenen sürümler | Önerilen çözüm |
| Fortisiem 7.4 | Etkilenmedi | Uygulanamaz |
| Fortisiem 7.3 | 7.3.0 ila 7.3.1 | 7.3.2 veya üstüne yükseltme |
| Fortisiem 7.2 | 7.2.0 ila 7.2.5 | 7.2.6 veya üstüne yükseltme |
| Fortisiem 7.1 | 7.1.0 ila 7.1.7 | 7.1.8 veya üstüne yükseltme |
| Fortisiem 7.0 | 7.0.0 ila 7.0.3 | 7.0.4 veya üstüne yükseltme |
| Fortisiem 6.7 | 6.7.0 ila 6.7.9 | 6.7.10 veya daha yüksek seviyeye yükseltme |
| Fortisiem 6.6 ve alt | Tüm sürümler | Sabit sürüme geçiş yapın |
Fortisiem sürümleri 6.6 ve daha önceki kuruluşlar, belirli zorluklarla karşı karşıyadır, çünkü bu sürümler basit güncellemeler yerine desteklenen sürümlere tam geçiş gerektirir.
Aktif sömürü denemelerinin keşfi, bu güvenlik açığını yüksek öncelikli bir güvenlik endişesi haline getirmektedir.
Kuruluşlar, Phonitor Limanı’na (7900) erişimi kısıtlayarak geçici hafifletme uygulayabilir, ancak bu, kapsamlı iyileştirme planlarken sadece kısa vadeli bir önlem olarak düşünülmelidir.
Güvenlik ekipleri, Fortisiem dağıtımlarını derhal envanterleştirmeli, maruz kalma riskine göre yamalamaya öncelik vermeli ve potansiyel uzlaşma göstergelerini izlemelidir.
Bu danışmanın 12 Ağustos 2025 tarihinde, Fortinet’in IR numarası FG-IR-25-152 uyarınca yayınlanması, dünya çapında etkilenen kuruluşlar arasında gerekli yanıt eylemlerinin acil doğasını işaret ediyor.
AWS Security Services: 10-Point Executive Checklist - Download for Free