Saldırganların Aralık 2025’te FortiGate cihazlarını tehlikeye atmak için kullandığı kritik bir kimlik doğrulama atlama kusuru olan CVE-2025-59718, temeldeki FortiOS’un daha yeni ve düzeltildiği iddia edilen sürümlerinde de varlığını sürdürüyor gibi görünüyor.
Fortinet’e göre CVE-2025-59718, FortiOS’un 7.6.4 veya üzeri, 7.4.9 veya üzeri, 7.2.12 veya üzeri ve 7.0.18 veya üzeri sürümlerinde düzeltildi.
Ancak Salı günü bir Fortinet yöneticisi, Reddit’te diğer kurumsal yöneticilerin saldırganların zaten CVE-2025-59718’i adresleyecek şekilde yükseltilmiş olan FortiGate güvenlik duvarlarında oturum açtığını ve yeni hesaplar oluşturduğunu gözlemleyip gözlemlemediğini sordu.
Reddit kullanıcısı, v7.4.9 üzerinde çalışan FortiGate cihazlarından birinde kötü niyetli bir SSO girişi tespit ettiklerini ve SIEM’lerinin, yerel bir yönetici hesabının oluşturulduğunu yakaladığını söyledi.
Kullanıcı, “Şimdi, küçük bir araştırma yaptım ve birisi CVE-2025-59718’e geldiğinde tam olarak böyle göründüğünü görüyorum. Ancak 30 Aralık’tan beri 7.4.9’dayız” dedi ve girdi istedi.
İki ayrı kullanıcı aynı saldırı etkinliğini yaşadıklarını söyledi. Günlükleri karşılaştırdıktan sonra içlerinden biri aynı aktiviteyi gözlemlediğini doğruladı.
“Aynı zamanda 7.4.9 da çalışıyor. Kullanıcı girişi ve IP adresi aynı. “Yardım masası” adında yeni bir sistem yöneticisi kullanıcısı oluşturuldu. Şununla açık bir bildirimimiz var: [Fortinet] kullanıcı, yorumunu güncelleyerek “Fortinet geliştirici ekibinin güvenlik açığının v7.4.10’da devam ettiğini veya düzeltilmediğini doğruladığını” ve gelecek v7.4.11, v7.6.6 ve v8.0.0 için bir düzeltme planladığını belirtti.
Güvenlik şirketleri ne görüyor?
Shadowserver şu anda FortiCloud SSO etkinleştirilmiş, internete bakan 11.000’den fazla FortiNet cihazını “görüyor”.
Huntress Taktiksel Müdahale Kıdemli Müdürü Dray Agha, Help Net Security’ye şunları söyledi: “Huntress, her ikisi de Fortinet ürünlerini etkileyen kritik kimlik doğrulama bypass güvenlik açıkları olan CVE-2025-59718 ve CVE-2025-59719’un aktif olarak kullanıldığını gözlemledi. Yönetilen SIEM telemetrimiz aracılığıyla, tehdit aktörlerinin FortiGate ve ilgili cihazları bypass etmeye ve bunlara idari erişim sağlamaya çalıştığını gözlemledik.”
“Son 30 gün içinde 11 örneği gözlemledik, tespit ettik ve raporladık. Son 7 gün içinde yalnızca bir müşteri kendisine tamamen yama uygulandığını bildirdi ve bunun tarafından nasıl hedef alınabileceğini bilmiyordu.”
Saldırıların çoğunlukla DigitalOcean, Kaopu Cloud HK ve Cloudflare ile ilişkili IP’lerden geldiğini ve tüm bu vakalarda gözlemlenen saldırı vektörünün FortiCloud tek oturum açma (SSO) yolu olduğunu paylaştı.
“Özellikle, kötü amaçlı SAML yanıtları, normal kimlik doğrulamayı atlamak ve savunmasız FortiGate cihazlarında yönetici hesapları olarak oturum açmak için kullanılıyor. Kimlik doğrulaması yapıldıktan sonra saldırganlar, kimlik bilgilerine erişimi ve nihai kalıcılığı kolaylaştıran tüm cihaz yapılandırma dosyalarını dışa aktarıyor.”
Yine Salı günü, Arctic Wolf’ta güvenlik mühendisi olan Reid Hutchins, X’te “son 24 saat içinde, geçen Aralık ayında açıklanan CVE’ye benzer davranış sergileyen, tamamen yamalı Fortinet güvenlik duvarlarında çok sayıda ihlal gözlemlediklerini” paylaştı.
Doğrudan iletişime geçildiğinde Arctic Wolf Labs ekibi Help Net Security’ye, 15 Ocak 2026’dan itibaren FortiGate cihazlarında yetkisiz güvenlik duvarı yapılandırma değişiklikleri içeren otomatik kötü amaçlı etkinlikleri gözlemlemeye başladıklarını söyledi.
Ekip, “Bu etkinlik, uzun vadeli kalıcılığa yönelik genel hesapların oluşturulmasının yanı sıra güvenlik duvarı yapılandırmalarının sızmasını içeriyordu” dedi ve ilk erişim için yararlanma yolunun şu anda onaylanmadığını söyledi.
Şu anda CVE-2025-59718’in kötüye kullanılmasını engellemenin tek yolu ilk geçici çözüm gibi görünüyor; yani FortiCloud yönetici oturum açma seçeneğinin sistem ayarları veya komut satırı arayüzü aracılığıyla devre dışı bırakılması.
Fortinet bu raporlarla ilgili sorularımıza henüz yanıt vermedi. Daha fazlasını öğrendiğimizde bu makaleyi güncelleyeceğiz.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmamak için son dakika haber e-posta uyarımıza abone olun. Buradan abone olun!