Siber güvenlik araştırmacıları, Fortinet Fortiweb WAF’ta bir saldırganın yönetici hesaplarını ele geçirmesine ve cihazın güvenliğini tamamen tehlikeye atmasına olanak verebilecek bir kimlik doğrulama atlama güvenlik açığı hakkında uyarıda bulunuyor.
watchTowr CEO’su ve kurucusu Benjamin Harris, yaptığı açıklamada, “WatchTowr ekibi, Fortinet’in FortiWeb ürününde sessizce yamalanmış bir güvenlik açığı gibi görünen bir şeyin aktif ve ayrım gözetmeksizin vahşi doğada istismar edildiğini görüyor.” dedi.
“Sürüm 8.0.2’de yamalanan güvenlik açığı, saldırganların ayrıcalıklı bir kullanıcı olarak eylemler gerçekleştirmesine olanak tanıyor; bu güvenlik açığından yararlanma, saldırganlar için temel bir kalıcılık mekanizması olarak yeni bir yönetici hesabı eklemeye odaklanıyor.”
Siber güvenlik şirketi, güvenlik açığını başarılı bir şekilde yeniden oluşturabildiğini ve çalışan bir kavram kanıtı (Poc) oluşturabildiğini söyledi. Ayrıca, duyarlı cihazların belirlenmesine yardımcı olmak amacıyla kimlik doğrulama bypass’ına yönelik bir yapı oluşturma aracı da yayınladı.
PwnDefend’den Defused ve güvenlik araştırmacısı Daniel Card tarafından paylaşılan ayrıntılara göre, istismarın arkasındaki tehdit aktörünün, yönetici hesabı oluşturmak için HTTP POST isteği aracılığıyla “/api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi” adresine bir yük gönderdiği tespit edildi.
Vahşi ortamda tespit edilen veriler tarafından oluşturulan yönetici kullanıcı adlarından ve şifrelerinden bazıları aşağıdadır –
- Test noktası / AFodIUU3Sszp5
- tüccar1 / 3eMIXX43
- tüccar / 3eMIXX43
- test1234point / AFT3$tH4ck
- Test noktası / AFT3$tH4ck
- Test noktası/AFT3$tH4ckmet0d4yaga!n
Saldırıların arkasındaki tehdit aktörünün kökeni ve kimliği bilinmiyor. Sömürme faaliyeti ilk tespit edildi geçen ayın başlarında. Bu yazının yazıldığı an itibariyle Fortinet, PSIRT akışında bir CVE tanımlayıcısı atamadı veya bir öneri yayınlamadı.
Hacker News yorum almak için Fortinet’e ulaştı ve geri dönüş alırsak hikayeyi güncelleyeceğiz.
Fortinet FortiWeb’in 8.0.2 öncesi sürümlerini çalıştıran kuruluşlara güvenlik açığını acilen gidermeleri konusunda çağrıda bulunan Rapid7, FortiWeb’i hedef alan bir sıfır gün istismarının 6 Kasım 2025’te popüler bir siyah şapka forumunda satışa sunulduğunu gözlemlediğini söyledi. Bunun aynı istismar olup olmadığı şu anda belli değil.
Harris, “Fortinet’ten bir yorum beklerken, kullanıcılar ve şirketler artık tanıdık bir süreçle karşı karşıya: Önceki uzlaşmaların önemsiz işaretlerini arayın, daha fazla bilgi için Fortinet’e ulaşın ve henüz yapmadıysanız yamaları uygulayın” dedi. “Bununla birlikte, gözlemlenen ayrımsız sömürü dikkate alındığında […]yama yapılmadan kalan cihazların güvenliği zaten tehlikeye girmiştir.”