Çok Durumlu Bilgi Paylaşımı ve Analiz Merkezi’nin (MS-ISAC) yeni bir siber güvenlik tavsiyesi, kuruluşları Fortinet ürünlerini etkileyen, bazıları saldırganların etkilenen sistemlerde rastgele kod çalıştırmasına izin verebilecek çok sayıda güvenlik açığı konusunda uyarıyor. MS-ISAC Tavsiyesi 2026-003 olarak tanımlanan danışma belgesi 13 Ocak 2026’da yayınlandı ve çok çeşitli kurumsal, kamu ve eğitim odaklı teknolojiler için geçerlidir.
Etkilenen çözümler arasında FortiSandbox, FortiWeb ve FortiVoice’nin yanı sıra FortiOS, FortiClientEMS, FortiSwitchManager, FortiProxy, FortiFone, FortiSIEM ve FortiSASE yer alıyor. Fortinet’in tescilli işletim sistemi olan FortiOS, birden fazla ürün grubunda kullanıldığı için özellikle dikkat çekicidir; bu da içindeki güvenlik açıklarının kademeli etkilere sahip olabileceği anlamına gelir.
Sıfır gün kötü amaçlı yazılımları ve fidye yazılımları için şüpheli dosyaları ve ağ trafiğini analiz ederek gelişmiş tehdit algılaması gerçekleştiren FortiSandbox, sunucu tarafı istek sahteciliği güvenlik açığından etkileniyor. Uygulamaları ve API’leri SQL enjeksiyonu ve siteler arası komut dosyası oluşturma gibi saldırılardan korumak için tasarlanmış bir web uygulaması güvenlik duvarı olan FortiWeb, FortiOS’a olan güveninden dolaylı olarak etkilenebilir. Ses, sohbet, konferans ve faks hizmetlerini destekleyen tümleşik bir iletişim platformu olan FortiVoice, belirli koşullar altında dosya silinmesine izin verebilecek, dosya sistemiyle ilgili bir güvenlik açığından etkileniyor.
MS-ISAC Tavsiyesinin Teknik Detayları
MS-ISAC, en ciddi güvenlik açıklarının, etkilenen hizmet hesapları bağlamında rastgele kod yürütülmesine izin verebileceğini bildiriyor. Bu hizmet hesapları yükseltilmiş ayrıcalıklarla yapılandırılmışsa, saldırgan programları yükleyebilir, verileri değiştirebilir veya silebilir ya da tam kullanıcı haklarına sahip yeni hesaplar oluşturabilir. En az ayrıcalıklı erişim modellerini uygulayan sistemlerin etkisi azalabilir.
En kritik sorunlardan biri, FortiOS ve FortiSwitchManager tarafından kullanılan cw_acd arka plan programındaki yığın tabanlı arabellek taşması güvenlik açığıdır (CWE-122). CVE-2025-25249 olarak tanımlanan bu kusur, uzaktaki, kimliği doğrulanmamış bir saldırganın, özel hazırlanmış istekler aracılığıyla rastgele kod veya komutlar yürütmesine olanak tanıyabilir. Yüksek önem derecesine sahip başka bir güvenlik açığı FortiSIEM’i etkiliyor; burada CVE-2025-64155 olarak izlenen bir işletim sistemi komut ekleme hatası (CWE-78), kimliği doğrulanmamış saldırganların hazırlanmış TCP istekleri aracılığıyla yetkisiz komutlar yürütmesine izin verebilir.
Daha düşük önem derecesine sahip güvenlik açıkları da belgelendi. Bunlar arasında FortiVoice’deki bir yol geçiş güvenlik açığı (CVE-2025-58693), FortiClientEMS’deki bir SQL enjeksiyon hatası (CVE-2025-59922), FortiSandbox’taki bir SSRF güvenlik açığı (CVE-2025-67685) ve FortiFone web portalındaki bir bilginin ifşa edilmesi sorunu (CVE-2025-47855) yer alıyor.
Etkilenen Sürümler, Risk Derecelendirmeleri ve Azaltma Kılavuzu
Danışma belgesinde çok çeşitli etkilenen sürümler listelenmektedir. FortiVoice 7.2.0 ila 7.2.2 ve 7.0.0 ila 7.0.7 sürümleri etkilenirken, FortiSandbox 5.0.0 ila 5.0.4 sürümleri ve 4.4, 4.2 ve 4.0’ın tüm sürümleri de etkilenir. FortiClientEMS, FortiSwitchManager, FortiSIEM, FortiFone ve FortiSASE’nin birden fazla sürümünün yanı sıra 6.4.0’dan 7.6.3’e kadar FortiOS sürümleri de dahildir.
MS-ISAC, riski büyük ve orta ölçekli devlet kurumları ve işletmeler için yüksek, küçük devlet kurumları ve küçük işletmeler için orta ve ev kullanıcıları için düşük olarak değerlendiriyor. Yayınlandığı tarihte vahşi doğada aktif sömürüye ilişkin herhangi bir rapor yoktu.
Riski azaltmak için MS-ISAC, uygun testlerin ardından Fortinet’in kararlı kanal güncellemelerinin mümkün olan en kısa sürede uygulanmasını öneriyor. Ek rehberlik, resmi bir güvenlik açığı yönetimi ve iyileştirme sürecinin sürdürülmesini, düzenli otomatik yama ve güvenlik açığı taramalarının gerçekleştirilmesini ve periyodik sızma testlerinin gerçekleştirilmesini içerir.
Kuruluşlara ayrıca en az ayrıcalıklı erişimi zorunlu kılmaları, varsayılan hesapları ve idari hesapları dikkatli bir şekilde yönetmeleri, istismar karşıtı korumaları etkinleştirmeleri ve olası yanal hareketleri sınırlamak için ağları bölümlere ayırmaları tavsiye ediliyor.