Arctic Wolf araştırmacıları Salı günü yaptığı açıklamada, saldırganların Fortinet’in FortiGate güvenlik duvarlarındaki kimlik doğrulamayı atlamak için yakın zamanda ortaya çıkan bir güvenlik açığından (CVE-2025-59718) yararlandığını ve sistem yapılandırma dosyalarını dışa aktarmak için elde edilen erişimden yararlandıklarını uyardı.
Yapılandırma dosyaları, temel ağ ve altyapı, güvenlik duvarı ve güvenlik politikaları, şifrelenmiş/karma şifreler ve daha fazlası hakkındaki bilgileri açığa çıkarabilir. Bu verilerin bir kısmı daha sonraki bir tarihte başarılı saldırılar gerçekleştirmek için kullanışlı olabilir.
CVE-2025-59718 ve CVE-2025-59719
Fortinet, CVE-2025-59718 ve CVE-2025-59719’u dahili olarak keşfetti ve bu yılın başlarında bunlara yama uyguladı.
Her iki kusur da kriptografik imzaların uygunsuz şekilde doğrulanmasından kaynaklanmaktadır. Güvenlik açığı bulunan bir cihaza, isteği başlatan kullanıcıya erişim izni verilmesi gerektiğini etkili bir şekilde “söyleyen” özel hazırlanmış bir SAML yanıt mesajı gönderilerek bu bilgilerden yararlanılabilir.
CVE-2025-59718 FortiOS’u (FortiGate güvenlik duvarlarında çalışan), FortiProxy’yi (FortiProxy güvenli web ağ geçitlerinde çalışan) ve FortiSwitchManager’ı (FortiSwitch Ethernet anahtarlarını merkezi olarak yönetmek için kullanılan cihazlarda çalışan) etkiler.
CVE-2025-59719 Fortinet’in web uygulaması güvenlik duvarı olan FortiWeb’i etkiler.
Şirket, 9 Aralık 2025’te güvenlik açıklarının varlığını açıkladı ve müşterilerini sabit bir sürüme yükseltmeye veya “etkilenmeyen bir sürüme yükseltme yapılıncaya kadar FortiCloud oturum açma özelliğini (etkinse) geçici olarak kapatmaya” çağırdı.
Fortinet, FortiCloud SSO oturum açma özelliğinin varsayılan fabrika ayarlarında etkinleştirilmediğini, ancak bir yöneticinin aygıtı Fortinet’in müşteri desteği ve bakım hizmeti olan FortiCare’e kaydetmek için aygıtın GUI’sini kullanması ancak kayıt sayfasındaki “FortiCloud SSO kullanarak yönetici oturum açmasına izin ver” seçeneğini devre dışı bırakmaması durumunda açıldığını belirtti.
İşlem gerekli
Arctic Wolf, 12 Aralık’ta FortiGate cihazlarında kötü niyetli SSO girişlerini içeren izinsiz girişleri gözlemlemeye başladığını söylüyor.
SAML yanıt mesajları, çeşitli barındırma sağlayıcılarına bağlı çeşitli IP adreslerinden gönderildi.
Şirket, “Kötü amaçlı oturum açma işlemlerinin genellikle yönetici hesabına yönelik olduğunu” belirtti. “Kötü amaçlı SSO oturum açma işlemlerinin ardından, yapılandırmalar GUI arayüzü aracılığıyla aynı IP adreslerine aktarıldı.”
Henüz güvenlik açığı olmayan bir sürüme yükseltme yapmamış olan FortiGate güvenlik duvarlarını kullanan ve FortiCloud SSO oturum açma özelliğini kullanan kuruluşlar, şüpheli oturum açma işlemleri ve bilinen güvenlik ihlali göstergeleri açısından günlüklerini kontrol etmelidir.
Arctic Wolf araştırmacıları, “Bu güvenlik bülteninde açıklanan kötü amaçlı günlüklere benzer kötü amaçlı etkinlik gözlemlerseniz, sızdırılan yapılandırmalarda saklanan karma güvenlik duvarı kimlik bilgilerinin ele geçirildiğini varsayın ve bu kimlik bilgilerini mümkün olan en kısa sürede sıfırlayın” tavsiyesinde bulundu.
Ayrıca kuruluşlarının ağ cihazlarından sorumlu yöneticileri, güvenlik duvarı ve VPN cihazlarının yönetim arayüzlerine erişimi güvenilir dahili kullanıcılarla sınırlamaya çağırdılar.
CISA, Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna CVE-2025-59718’i ekledi ve ABD federal sivil kurumlarının kusuru 23 Aralık 2025’e kadar düzeltmesini talep ediyor.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmamak için son dakika haber e-posta uyarımıza abone olun. Buradan abone olun!