FortiWeb Güvenlik Açığı: CVE-2025-52970’in Tehditi
Güvenlik araştırmaları her geçen gün siber tehditler karşısında kritik bir rol oynamaktadır. Son günlerde, bir güvenlik araştırmacısı Aviv Y, FortiWeb web uygulama güvenlik duvarında bulunan bir açığın kısmi bir kanıtını yayımladı. Bu açık, uzaktan bir saldırganın kimlik doğrulamasını atlamasına olanak tanıyor. Özellikle, FortiWeb’deki bu güvenlik açığı CVE-2025-52970 olarak takip edilmektedir.
Açığın Teknik Detayları
Fortinet’e sorumlu bir şekilde bildirilen bu güvenlik açığı, FortMajeure olarak adlandırılmıştır. Aviv Y, açığı “olması beklenmeyen bir sessiz hata” olarak tanımlamaktadır. Teknik açıdan, bu durum, FortiWeb’in çerez ayrıştırmasındaki sınır dışı okuma (out-of-bounds read) ile ilgilidir. Saldırgan, Era parametresini beklenmedik bir değere ayarladığında, sunucu oturum şifrelemesi ve HMAC imzalama için tüm sıfır anahtarını kullanmaktadır. Bu da, sahte kimlik doğrulama çerezlerinin oluşturulmasını son derece kolay hale getirmektedir.
Kimlik Doğrulama Atlatma Süreci
CVE-2025-52970’ten yararlanmak isteyen saldırganın, hedef kullanıcının aktif bir oturumunun olması gerekmektedir. Aynı zamanda, saldırganın çerezdeki küçük bir sayısal alanı kaba kuvvet (brute-force) ile tahmin etmesi gerekiyor. Bu zorunluluk, imzalı çerezdeki bir alanın, refresh_total_logins() fonksiyonu tarafından doğrulanmasından kaynaklanmaktadır. Saldırganın tahmin etmesi gereken bu alan, genellikle 30’u geçmeyen bir değer aralığına sahiptir; bu da yaklaşık 30 isteklilik bir arama alanı sunmaktadır.
Zararlı Etkiler ve Düzeltme
Yukarıda bahsedilen açık, FortiWeb 7.0 ile 7.6 arasındaki sürümleri etkilemektedir. Fortinet, bu açığın düzeltildiği sürümleri aşağıdaki gibi açıklamıştır:
- FortiWeb 7.6.4 ve sonrasındaki sürümler
- FortiWeb 7.4.8 ve sonrasındaki sürümler
- FortiWeb 7.2.11 ve sonrasındaki sürümler
- FortiWeb 7.0.11 ve sonrasındaki sürümler
Fortinet, 8.0 sürümlerinin bu sorundan etkilenmediğini belirtmiştir. Dolayısıyla, bu sürümlerin kullanıcılarının ek bir önlem almasına gerek yoktur. Güvenlik bülteni, geçici çözüm önerileri veya hafifletme tavsiyeleri sunmamaktadır. Dolayısıyla, güvenli bir sürüme yükseltme, önerilen yegâne etkili eylemdir.
CVSS Skoru ve Saldırı karmaşıklığı
Fortinet’in CVSS şiddet derecelendirmesi 7.7 olarak belirlenmiştir. Ancak, bu skor “yüksek saldırı karmaşıklığı” nedeniyle yanıltıcı olabilir. Kaba kuvvet kısmı pratikte oldukça basit ve hızlıdır. Aviv Y, araştırmanın bir parçası olarak, bir REST uç noktasında yönetici taklidi yapıldığını gösteren bir PoC çıktısı paylaşmıştır. Ancak, tam istismar ayrıntılarını gizlemeyi tercih etmiştir. Saldırganların FortiWeb CLI’ye /ws/cli/open üzerinden bağlanmasını sağlayan uzman içeriğinin mevcut olmadığını açıklamıştır.
Araştırmacının Kararı ve Sorumluluk
Aviv Y, tam istismar detaylarını yayımlama tarihini henüz belirlemediğini, ancak sistem yöneticilerine düzeltmelerini uygulamaları için daha fazla zaman tanımak adına bu kararı aldığını belirtmiştir. Yayınlanan detaylar, sorunun özünü göstermekte, ancak deneyimli saldırganların tam bir silahlandırılmış zincir geliştirmesine yetmemektedir. Araştırmacı, saldırganların oturum alanlarının formatını tersine mühendislik yoluyla anlamalarının pratikte zor olduğunu ifade etmiştir.
Hızla Alınması Gereken Önlemler
Güvenlik açığının sonuçları oldukça ciddi olabilir. Saldırganlar bu tür duyuruları yakından takip etmektedir ve tam PoC’ler yayımlandığında harekete geçmek için hazırlanıyorlardır. Dolayısıyla, sistem yöneticileri ve IT ekiplerinin, risklere karşı derhal etkili önlemler almaları gerekmektedir. Aviv Y, güvenlik konusunda savunuculara zaman tanıma niyetindedir ve bu süreçte doğru adımlar atılmasının önemini vurgulamaktadır.
Bu tür güvenlik açıklarının tespit edilmesi, dijital dünyada daha güvenli bir ortam yaratmak için büyük bir adım olarak değerlendirilmektedir.
