Fortinet’in FortiWeb Üzerindeki Kritik Sıfır Günü Açığı ve Alınan Önlemler
Fortinet, yaygın olarak saldırılara maruz kalan FortiWeb web uygulama güvenlik duvarındaki kritik bir sıfır günü zafiyetini gizlice yamanladığını duyurdu. Bu zafiyet, internetten erişilebilen cihazlarda doğrulama yapılmadan yeni yönetici kullanıcıları oluşturulmasına olanak tanıyordu.
Saldırının Boyutu ve Yöntemi
Saldırıların ilk kez 6 Ekim’de tehdit istihbarat firması Defused tarafından tespit edildiği bildirildi. Defused, FortiWeb üzerinde keşfedilen bir yol geçişi (path traversal) zafiyetinin kötüye kullanıldığına dair bir kanıt yayınladı. Bu exploit, Fortinet’in /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi uç noktasına HTTP POST istekleri göndererek yerel yönetici seviyesinde hesaplar oluşturmak için kullanıldı.
WatchTowr Labs güvenlik araştırmacıları, bu açığın kötüye kullanılma şeklini demo etti ve savunucuların hedef sistemleri tespit etmesine yardımcı olacak bir araç olan “FortiWeb Authentication Bypass Artifact Generator”ı yayımladı.
Zafiyetin Güncellenmesi ve Çözüm Süreci
Rapid7, bu zafiyetin FortiWeb sürümlerinin 8.0.1 ve daha önceki sürümlerini etkilediğini belirtti. Çıkan güncellemeyle (8.0.2) birlikte, önceki versiyonlardaki açıkları kötüye kullanmaya yönelik kanıtların artık işe yaramadığı doğrulandı.
Fortinet, CVE-2025-64446 olarak izlenen bu yol karışıklığı zafiyetinin, FortiWeb’in GUI bileşeninde, yamanmamış sistemlerde yetkisiz kullanıcıların yönetimsel komutlar yürütmesine izin verdiğini açıkladı. Şirket, bu zafiyetin dünya genelinde aktif olarak istismar edildiğini belirtti ve bunun üzerine 28 Ekim’de FortiWeb 8.0.2 sürümünü piyasaya sürdü.
| Versiyon | Etkilenen Sürümler | Çözüm |
|---|---|---|
| FortiWeb 8.0 | 8.0.0 ile 8.0.1 | 8.0.2 veya daha üstü sürümlere geçiş yapın |
| FortiWeb 7.6 | 7.6.0 ile 7.6.4 | 7.6.5 veya daha üstü sürümlere geçiş yapın |
| FortiWeb 7.4 | 7.4.0 ile 7.4.9 | 7.4.10 veya daha üstü sürümlere geçiş yapın |
| FortiWeb 7.2 | 7.2.0 ile 7.2.11 | 7.2.12 veya daha üstü sürümlere geçiş yapın |
| FortiWeb 7.0 | 7.0.0 ile 7.0.11 | 7.0.12 veya daha üstü sürümlere geçiş yapın |
CISA’nın Uyarısı ve Başka Önlemler
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu zafiyeti aktif olarak kullanılan açıklar listesine ekleyerek federal ajansların sistemlerini 21 Kasım’a kadar güncellemeleri talimatını verdi. Bu tür zafiyetlerin sıklıkla kötü niyetli siber aktörler tarafından kullanıldığı ve federal kurumlar için büyük riskler taşıdığı vurgulandı.
Yöneticiler, FortiWeb 8.0.2’ye hemen güncelleyemeyeceklerse, internetten erişilebilen tüm yönetim arayüzleri için HTTP veya HTTPS’yi devre dışı bırakmalarını ve erişimin güvenilir ağlarla sınırlı olduğundan emin olmalarını önerildi. Ayrıca, müşteri yapılandırmalarını kontrol etmeleri ve yetkisiz yönetici hesaplarına dair logları incelemeleri gerektiği belirtildi.
Bu gelişmeler, Fortinet’in yazılım güvenliğinde daha dikkatli bir yaklaşım sergilemesi gerektiğinin altını çizmektedir. Geçmişte, Fortinet’in FortiSIEM güvenlik izleme çözümünde de benzer ciddi açıkların kapatıldığı bilinmektedir. Bu tür içgörüler, kurumların siber güvenliğini güçlendirmeleri için kritik birer fırsat sunmaktadır.
