Siber güvenlik şirketi Arctic Wolf, Fortinet FortiGate cihazlarında yetkisiz güvenlik duvarı yapılandırma değişiklikleri içeren “yeni bir otomatikleştirilmiş kötü amaçlı etkinlik kümesi” konusunda uyardı.
Faaliyetin 15 Ocak 2026’da başladığı ve CVE-2025-59718 ve CVE-2025-59719’u kullanarak farklı barındırma sağlayıcılarının yönetici hesaplarına karşı FortiGate cihazlarındaki kötü amaçlı SSO girişlerinin kaydedildiği Aralık 2025 kampanyasıyla benzerlikler taşıdığı belirtildi.
Her iki güvenlik açığı da, etkilenen Cihazlarda FortiCloud çoklu oturum açma (SSO) özelliği etkinleştirildiğinde, hazırlanmış SAML mesajları yoluyla SSO oturum açma kimlik doğrulamasının kimlik doğrulamasız atlanmasına olanak tanıyor. Eksiklikler FortiOS, FortiWeb, FortiProxy ve FortiSwitchManager’ı etkiliyor.
Arctic Wolf, gelişen tehdit kümesi hakkında şunları söyledi: “Bu etkinlik, kalıcılığa yönelik genel hesapların oluşturulmasını, bu hesaplara VPN erişimi sağlayan yapılandırma değişikliklerini ve güvenlik duvarı yapılandırmalarının sızmasını içeriyordu.”
Spesifik olarak, bu, dört farklı IP adresinden gelen kötü niyetli bir “[email protected]” hesabına karşı kötü amaçlı SSO oturum açma işlemlerinin gerçekleştirilmesini ve ardından güvenlik duvarı yapılandırma dosyalarının GUI arayüzü aracılığıyla aynı IP adreslerine aktarılmasını gerektirir. Kaynak IP adreslerinin listesi aşağıdadır –
- 104.28.244[.]115
- 104.28.212[.]114
- 217.119.139[.]50
- 37.1.209[.]19
Ayrıca tehdit aktörlerinin kalıcılık için “secadmin”, “itadmin”, “support”, “backup”, “remoteadmin” ve “audit” gibi ikincil hesaplar oluşturduğu da gözlemlendi.
Arctic Wolf, “Yukarıdaki olayların tümü, otomatik faaliyet olasılığını göstererek, birbirlerinden birkaç saniye arayla gerçekleşti.” diye ekledi.
Açıklama, Reddit’te birden fazla kullanıcının tam yama uygulanmış FortiOS cihazlarında kötü amaçlı SSO girişleri gördüğünü bildirdiği bir gönderiyle aynı zamana denk geliyor; bir kullanıcı “Fortinet geliştirici ekibi, güvenlik açığının devam ettiğini veya 7.4.10 sürümünde düzeltilmediğini doğruladı.”
Hacker News yorum almak için Fortinet’e ulaştı ve geri dönüş alırsak hikayeyi güncelleyeceğiz. Bu arada “admin-forticloud-sso-login” ayarının devre dışı bırakılması önerilir.