Fortinet Ürünlerindeki Kritik Açıklar
Son dönemde, Fortinet ürünlerinde tespit edilen iki kritik güvenlik açığı, siber saldırganların yönetici hesaplarına izinsiz erişimde bulunmasına olanak tanıyor. Bu açılara CVE-2025-59718 ve CVE-2025-59719 numaraları verilmiştir. Fortinet, bu zafiyetlerin potansiyel kötüye kullanımına karşı bir uyarı yayımlamıştır.
CVE-2025-59718, FortiOS, FortiProxy ve FortiSwitchManager için bir FortiCloud SSO kimlik doğrulama bypass açığıdır. Bu açık, SAML mesajlarındaki kriptografik imzaların yanlış doğrulanmasından kaynaklanmakta ve saldırganların kötü amaçlı bir SAML beyanı göndererek geçerli bir kimlik doğrulama olmaksızın giriş yapmasına olanak tanımaktadır.
CVE-2025-59719 ise FortiWeb için benzer bir SSO kimlik doğrulama bypass açığıdır. Aynı kriptografik imza doğrulama sorunundan dolayı, sahte SSO ile kimlik doğrulaması olmadan yönetici erişimi sağlanabilmektedir.
Açıkların Sınırları ve Etkileri
Her iki zafiyet, yalnızca FortiCloud SSO etkinleştirildiğinde kullanılabilir. Bu özellik varsayılan olarak etkin değildir, ancak FortiCare kullanıcı arayüzü üzerinden cihaz kayıt işlemleri sırasında otomatik olarak aktif hale gelebilir.
Yönetici Hesaplarının Hedef Alınması
Arctic Wolf siber güvenlik şirketinin araştırmaları, 12 Aralık’tan itibaren bu iki güvenlik açığının kötüye kullanıldığını ortaya koymuştur. Saldırılar, The Constant Company, BL Networks ve Kaopu Cloud HK gibi IP adreslerinden kaynaklanmıştır.
Saldırganlar, kötü amaçlı SSO oturum açma girişimleriyle yönetici hesaplarını hedef almıştır. Elde edilen yönetici seviyesi erişimle, siber saldırganlar web yönetim arayüzüne giriş yapmış ve sistem konfigürasyon dosyalarını indirmişlerdir. Bu dosyalar, ağ yapıları, internetle etkileşimde bulunan hizmetler, güvenlik duvarı politikaları ve zayıf olabilir şifrelenmiş parolaları içerebilmektedir.
Saldırıları Önleme Yöntemleri
Bu iki zafiyet, FortiOS 6.4, FortiWeb 7.0 ve FortiWeb 7.2 dışındaki birçok Fortinet ürününü etkilemektedir. Fortinet, hâlâ zayıf bir sürüm kullanan yöneticilere, mümkün olan en kısa sürede güvenli bir sürüme güncelleme yapana kadar FortiCloud giriş özelliğini geçici olarak devre dışı bırakmalarını önermektedir.
Bunu yapmak için:
Sistem → Ayarlar → “FortiCloud SSO kullanarak yönetici girişi izni” = Kapalı seçeneğine gidilmesi gerekmektedir.
Yönetim sistemleri, aşağıdaki sürümlere geçiş yapmayı düşünmelidir:
- FortiOS 7.6.4+, 7.4.9+, 7.2.12+, ve 7.0.18+
- FortiProxy 7.6.4+, 7.4.11+, 7.2.15+, 7.0.22+
- FortiSwitchManager 7.2.7+, 7.0.6+
- FortiWeb 8.0.1+, 7.6.5+, 7.4.10+
Eğer herhangi bir tehdit belirtisi tespit edilirse, güvenlik duvarı kimlik bilgileri mümkün olan en kısa sürede değiştirilmelidir. Arctic Wolf, güvenlik duvarı/VPN yönetimi erişiminin yalnızca güvenilir dahili ağlarla sınırlandırılmasını da önermektedir.
