Yönetişim ve Risk Yönetimi, Ağ Güvenlik Duvarları, Ağ Erişim Kontrolü, Yama Yönetimi
FortiSIEM Cihazlarını Suistimal Etme Girişimiyle Bağlantılı Olanlar Arasında Çinli Saldırganlar
Mathew J. Schwartz (euroinfosec) •
21 Ocak 2026
Yeni yıla yalnızca birkaç hafta kala, 2025’teki bu trend hâlâ geçerliliğini koruyor: Araştırmacılar uç cihazlarda daha kritik güvenlik açıklarını ortaya çıkarıyor ve saldırganlar bunları hızla bilgisayar korsanlarına dağıtıyor.
Ayrıca bakınız: Forrester Wave™: Kurumsal Güvenlik Duvarı Çözümleri, 4. Çeyrek 2024
Son zamanlarda bu, Fortinet’in FortiSIEM güvenlik bilgileri ve olay yönetimi cihazlarında, saldırganlar tarafından sistemi tamamen tehlikeye atmak ve bir kuruluşun ağına erişim sağlamak için uzaktan kullanılabilecek kritik bir kusuru da içeriyor.
CVE-2025-64155 olarak takip edilen güvenlik firması Defused Perşembe günü, Fortinet’in güvenlik uyarısı yayınlamasının hemen ardından balküplerinin bu güvenlik açığından yararlanmaya yönelik aktif, vahşi girişimleri tespit etmeye başladığını bildirdi.
Finlandiya siber güvenlik firması Defused’ın CEO’su ve kurucusu Simo Kohonen, saldırı girişimlerinin Çin’deki IP adreslerinden “güçlü aktivite” içerdiğini ve bir dizi hedefli saldırının “güvenlik açığının düşmesinden bu yana neredeyse anında” başladığını söyledi.
Bu güvenlik açığının ayrıntıları, 13 Ocak’ta Fortinet’in işletim sistemi komut ekleme güvenlik açığı hakkında bir güvenlik tavsiyesi yayınlaması ve bu güvenlik açığını düzeltmek için yazılım güncellemeleri yayınlamasıyla kamuoyuna açıklandı. Uyarıda, CVE-2025-64155’in FortiSIEM Cloud ve FortiSIEM 7.5 hariç tüm FortiSIEM sürümlerinde mevcut olduğu ve “kimliği doğrulanmamış bir saldırganın hazırlanmış TCP istekleri aracılığıyla yetkisiz kod veya komutlar yürütmesine izin verebileceği” belirtiliyor.
Satıcı, düzeltme olarak 7.4.1, 7.3.5, 7.2.7 ve 7.1.9’u yayımladı. 7.0.x ve 6.7.x sürümleri de saldırıya açık olsa da bu hatlar için herhangi bir düzeltme yayınlanmayacak ve Fortinet, kullanıcılara bunun yerine hala desteklenen bir sürüm biçimindeki “sabit bir sürüme geçiş yapmalarını” tavsiye ediyor.
Güvenlik açığını azaltmak için kullanıcıların 7900 numaralı bağlantı noktasında “phMonitor’a erişimi sınırlayabileceği” de belirtildi.
Kusurun keşfi siber güvenlik firması Horizon3’e aittir ve şirket bunu 14 Ağustos 2025’te Fortinet’e bildirmiştir. Teknik açıdan derinlemesine incelemede Horizon3, hem “yönetici kullanıcı olarak uzaktan kod yürütülmesine izin veren, rastgele dosya yazmaya neden olan kimliği doğrulanmamış bir argüman yerleştirme güvenlik açığı” hem de “kök erişimine yol açan bir dosya üzerine yazma ayrıcalığı yükseltme güvenlik açığı” keşfettiğini ve Fortinet’e bildirdiğini ve 153 yıl boyunca bu kusurdan kamuya açıklanmayı beklediğini söyledi. satıcının 13 Ocak’taki güvenlik güncellemelerini yayınlamasına kadar günler kaldı.
Horizon3, koordineli güvenlik açığı açıklamasında, Ağustos 2025’te Fortinet’in hemen ardından yeni kusurlar keşfettiğini ve FortiSIEM cihazlarındaki komut ekleme güvenlik açığı için CVE-2025-25256 olarak takip edilen bir güvenlik tavsiyesi yayınladığını söyledi.
Firma, kusurun, SIEM’in farklı rollerinin (bir süpervizöre veri besleyen uzak toplayıcılardan oluşan) TCP/IP üzerinden gönderilen özel API mesajlarını kullanarak iletişim kurmasını sağlayan phMonitor hizmetinde bulunduğunu söyledi.
Ayrıca 13 Ocak’ta Horizon3, GitHub’daki güvenlik açığına ilişkin kavram kanıtlama kodunu GitHub’da yayınladı.
Siber güvenlik firması Arctic Wolf, Horizon3’ün kavram kanıtını, CVE-2025-64155’in “curl gibi araçların komut enjeksiyonu yoluyla tam sistemi ele geçirmek için nasıl silah haline getirilebileceğini, kimliği doğrulanmamış bir tehdit aktörünün genellikle yalnızca yönetici kullanıcı tarafından yazılabilen bir dosyaya ters kabuk yükü yazmasına izin verdiğini” ve ardından ayrıcalıkları root’a daha da yükseltebileceğini gösteriyor.
Bu tür güvenlik açıklarından yararlanmaya yönelik girişimlerin engellenmesine yardımcı olmak için Fortinet, FortiSIEM dağıtımlarının bir güvenlik duvarı tarafından filtrelenen ve genel internete doğrudan maruz kalmayan “korumalı bir ağ segmentine” yerleştirilmesini öneriyor.
Arctic Wolf, “Bu hizmeti internetten izole ederek saldırı yüzeyi azaltılır ve tehdit aktörlerinin CVE-2025-64155 gibi kritik güvenlik açıklarından ilk erişim elde etmesi engellenir.” dedi.
Hedef: Uç Cihazlar
Fortinet’in güvenlik açığı uyarısı, ulus devlet grupları, fidye yazılımı operasyonları ve diğer siber suçlular da dahil olmak üzere her türden saldırganın uç cihazları hedef aldığına dair devam eden uyarıların ortasında geldi.
Siber güvenlik firması VulnChec’in Çarşamba günü yayınladığı bir rapor, 2025’te istismar edilen bilinen güvenlik açıklarını analiz etti ve “güvenlik duvarları, VPN’ler ve proxy’ler de dahil olmak üzere ağ uç cihazlarının en sık hedef alınan teknolojiler olduğunu, ardından içerik yönetim sistemleri ve açık kaynaklı yazılımların geldiğini” ortaya çıkardı.
Kötüye kullanım faaliyeti genellikle bir güvenlik açığına CVE numarası atanmasını ve kamuya açık bir güvenlik uyarısını hızla takip etti.
VulnCheck, 2025 yılında saldırganların “CVE’lerinin yayınlandığı gün veya öncesinde, istismar edilen bilinen güvenlik açıklarının yaklaşık %30’undan yararlanmaya başladığını” söyledi; bu da tehdit aktörlerinin genellikle kamuya açıklanmadan veya CVE yayımlanmadan önce faaliyet gösterme ve genellikle güvenlik açıklarından yararlanma hızının altını çizdi.
Yeni güvenlik açıklarına yönelik saldırılar hızlı bir şekilde gerçekleşebilirken, yama uygulaması bazen yavaş yavaş gerçekleşir.
Bu ayın başlarında, kötü amaçlı yazılımlar, botnet’ler ve dolandırıcılıkla mücadele eden, kar amacı gütmeyen bir güvenlik kuruluşu olan Shadowserver Vakfı, taramalarında, satıcının bir güvenlik düzeltmesi yayınlamasından beş buçuk yıldan fazla süre sonra, 10.000’den fazla Fortinet güvenlik duvarının CVE-2020-12812’ye karşı savunmasız kaldığını tespit ettiği konusunda uyardı.
Raporu, Fortinet CISO’su Carl Windsor’un 24 Aralık 2025 tarihli bir blog yazısında şirketin güvenlik açığının “son zamanlarda belirli yapılandırmalara dayalı olarak vahşi ortamda kötüye kullanıldığını” gözlemlediği yönündeki uyarısının ardından geldi.
Belirli koşullar altında saldırganlar, FortiGate güvenlik duvarını, yönetici ve VPN hesapları da dahil olmak üzere iki faktörlü kimlik doğrulamayı atlamalarına olanak tanıyan kimlik doğrulama seçeneklerini kullanmaya zorlamak için güvenlik açığını kötüye kullanabilir.
Windsor, “Bu özel kimlik doğrulama davranışı, LDAP dizini bunu yapmadığında FortiGate’in kullanıcı adlarını varsayılan olarak büyük/küçük harfe duyarlı olarak değerlendirmesinden kaynaklanıyor” dedi.
Fortinet’in FortiOS 6.0.10, 6.2.4 ve 6.4.1 biçimindeki düzeltmeleri (Temmuz 2020’deki FG-IR-19-283 güvenlik uyarısında ayrıntılı olarak açıklanmıştır) bu tür saldırıları engeller. Ancak Shadowserver Vakfı’nın bulgularına göre pek çok kuruluş hâlâ savunmasız cihazlara yama uygulayamadı.
Windsor, güncellemeleri henüz yüklememiş kuruluşlar için “yanlış yapılandırılmış diğer LDAP grup ayarlarına devredilmesini önlemek” ve böylece bu özel kusurdan yararlanılmasını engellemek için atabilecekleri adımları ayrıntılı olarak açıkladı.
Şu ana kadar yama uygulamayı başaramayan kuruluşların en azından bu tür azaltımları hayata geçirip geçirmeyeceği ve eğer öyleyse ne zaman olacağı henüz bilinmiyor.