FortiCloud SSO Cihazları ve Güvenlik Açıkları
Son günlerde yapılan araştırmalar, 25,000’den fazla Fortinet cihazının çevrimiçi olarak saldırılara açık olduğunu ortaya koydu. Bu durum, FortiCloud SSO’nun etkin olmasıyla ilgili kritik bir kimlik doğrulama atlama açığının hedef alındığını göstermektedir. Shadowserver adlı internet güvenliği izleyicisi, bu cihazların çoğunun internet üzerinde halka açık bir şekilde yer aldığını duyurdu. Bu durum, siber güvenlik açısından ciddi bir tehlike oluşturuyor.
CVE-2025-59718 ve CVE-2025-59719 Açıkları
Fortinet, 9 Aralık’ta CVE-2025-59718 ve CVE-2025-59719 olarak takip edilen güvenlik açıklarını yamanarak bu durumun üstesinden gelmeye çalıştığını açıkladı. Ancak, bu açıkların etkili olabilmesi için sistem yöneticilerinin cihazı FortiCare destek hizmetine kaydetmiş olması gerektiği belirtildi. Yetkisiz girişler, kötü niyetli SSO oturum açma işlemleriyle gerçekleştirilmektedir.
Yapılan incelemelere göre, siber suçlular, daha önce belirttiğimiz SAML mesajını kullanarak yönetim arayüzlerine erişim sağlamakta ve hassas sistem yapılandırma dosyalarını indirmektedir. Bu dosyalar, sistemdeki zayıf noktaları, şifrelenmiş şifreleri ve ağ düzenlerini ifşa eden bilgileri içermektedir.
Saldırıların Hedefinde: FortiCloud SSO
Shadowserver, FortiCloud SSO parmak izine sahip 25,000’den fazla IP adresini takip ettiğini bildiriyor. Bu adreslerin, 5,400’ü ABD’de, 2,000’den fazlası da Hindistan’da yer almaktadır. Ne yazık ki, şu an için bu cihazların ne kadarının korunmaya alındığına dair bir bilgi bulunmamaktadır.
Macnica’dan Yutaka Sejiyama, yaptığı taramalarda Fortinet’in 30,000’den fazla cihazını bulduğunu belirtmiştir. Bu cihazlar, internet üzerinden erişilebilen zayıf yönetim arayüzlerine sahip. Bu durum, daha önce Fortinet’in yöneticilere ait kullanıcı arayüzü hastalıklarının sıklığına rağmen gizli kalmayı başaran bir durumdur.
CISA’nın Uyarıları ve Sorumluluklar
Pazartesi günü, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), FortiCloud SSO kimlik doğrulama açığını, aktif olarak kullanılmakta olan açıklar listesine ekledi. CISA, ABD hükümeti ajanslarının bu açıkları 23 Aralık’a kadar yamalamalarını zorunlu kıldı. Bu durum, devlet kurumlarının ve özel sektörün güvenliğini sağlamada alınması gereken önlemleri vurgulamaktadır.
Siber Saldırıların Kriz Yönetimi
Fortinet’in güvenlik açıkları, genellikle siber casusluk, siber suç veya fidye yazılımı grupları tarafından hedef alınmaktadır. Örnek vermek gerekirse, Şubat ayında, Volt Typhoon adı verilen Çinli hacker grubu belirli iki FortiOS açığını (CVE-2023-27997 ve CVE-2022-42475) kullanarak bir Hollanda Savunma Bakanlığı ağına sızdı.
Kasım ayı itibariyle de Fortinet, FortiWeb’in sıfır gün açığının (CVE-2025-58034) saldırılara uğradığını ve başka bir açığın (CVE-2025-64446) daha önce sessiz bir şekilde yamanmış olduğunu bildirdi. Bu örnekler, güvenlik zafiyetlerinin hızla sömürülebilir hale geldiğini göstermektedir.
Tüm bu gelişmeler ışığında, Fortinet cihazları kullanıcıları, sistemlerini düzenli olarak güncellemeli ve olası tehditlere karşı dikkatli olmalıdı. Aksi halde, yetkisiz erişimler ve veri ihlalleri gibi büyük sorunlarla karşılaşmaları kaçınılmaz olacaktır.
