Son Gelişmeler ve Önemi
Siber güvenlik alanındaki güncel tehditler arasında, Fortinet FortiGate cihazlarının yetkisiz yapılandırma değişiklikleri hedef alması dikkat çekmektedir. Arctic Wolf’un bildirdiği bu otomatik kötü niyetli aktivite, ağ güvenliği yönünden ciddi endişelere yol açıyor.
Saldırı Nasıl Çalışıyor?
Aktivite, 15 Ocak 2026 ‘da başlamış olup, CVE-2025-59718 ve CVE-2025-59719 güvenlik açıklarını kullanarak FortiGate cihazlarına yönelik kötü niyetli SSO (Tek Oturum Açma) oturum açma girişimlerini içermektedir. Bu güvenlik açıkları, SAML mesajlarının kötüye kullanımıyla *SSO login * kimlik doğrulaması üzerinde yetkilendirilmemiş bir bypass sağlamaktadır.
Etkilenen Sistemler
Aşağıdaki cihazların bu tehditten etkilendiği belirtilmiştir:
- FortiOS
- FortiWeb
- FortiProxy
- FortiSwitchManager
Risk ve Malpraktis
Kötü niyetli saldırganlar, aşağıdaki IP adreslerinden “[email protected]” kullanarak yapılandırma değişiklikleri yapmıştır:
- 104.28.244[.]115
- 104.28.212[.]114
- 217.119.139[.]50
- 37.1.209[.]19
Ayrıca, bu saldırılar sonucu “secadmin,” “itadmin,” “support,” “backup,” “remoteadmin,” ve “audit” gibi ikincil hesaplar oluşturulmuştur. Tüm bu olayların saniyeler içinde gerçekleşmesi, otomatik bir aktivite olasılığını güçlendirmektedir.
Çözüm ve Korunma
Kullanıcıların, FortiGate cihazlarının “admin-forticloud-sso-login” ayarını devre dışı bırakmaları önerilmektedir. Bu önlem, daha fazla yetkisiz erişim ve veri sızıntısını önlemek adına kritik bir adım olacaktır.
Sonuç
Cihazlarınızı korumak için derhal güncellemeleri kontrol edin ve özellikle CVE-2025-59718 ve CVE-2025-59719 ile ilgili yamanın uygulanıp uygulanmadığını doğrulayın. Gerekirse, portları kapatmayı da düşünebilirsiniz. Güvenliğinizi artırmak için proaktif adımlar atmanız büyük önem taşımaktadır.
