Fortinet FortiGate Üzerindeki Saldırıların Artışı
Son günlerde, Fortinet FortiGate cihazlarında iki yeni güvenlik açığının keşfedilmesiyle birlikte, tehdit aktörlerinin aktif saldırılarda bulunduğu bildirilmektedir. Arctic Wolf’ın yaptığı açıklamalara göre, 12 Aralık 2025 tarihinden itibaren, kötü niyetli tek oturum açma (SSO) logini ile gerçekleştirilen saldırılar gözlemlenmiştir. Bu saldırılar, sırasıyla CVE-2025-59718 ve CVE-2025-59719 kodlarına sahip kritik kimlik doğrulama atlayışlarını hedef almaktadır.
Açıkların Önemi ve Etkileri
Bu açıklıklar, SAML mesajlarının kullanılmasıyla, kullanıcı kimlik doğrulama süreçlerinin atlatılmasına olanak tanımaktadır. FortiCloud SSO özelliği, etkilenen cihazlarda etkinleştirildiğinde, kötü niyetli kişiler için güvenli bir giriş yolu açmaktadır. Fortinet, bu şifrelemeleri ve güvenlik güncellemelerini geçerli cihazlar için oldukça yüksek bir aciliyetle sunmuştur.
FortiCloud SSO özelliği varsayılan olarak kapalıdır. Ancak, FortiCare kayıt sürecinde, yöneticiler bu ayarı kapatmadıkları takdirde otomatik olarak açılmaktadır. Bu durum, yöneticilerin dikkat etmesi gereken kritik bir nokta olarak öne çıkmaktadır.
Gerçekleştirilen Saldırılar ve Gözlem Raporları
Arctic Wolf, saldırıların belirli barındırma sağlayıcılarıyla ilişkilendirilen IP adresleri üzerinden gerçekleştirildiğini ve bu IP’lerin “admin” hesabına yönelik kötü niyetli SSO oturum açma girişimlerinde bulunduğunu tespit etti. Saldırıların ardından, saldırganların cihaz konfigürasyonlarını GUI üzerinden dışa aktardıkları kaydedilmiştir. Bu durum, veri güvenliğini ciddi tehdit altına sokmanın yanında, sızma belirtilerinin tespiti için acil eylem planları geliştirilmesi gerektiğini ortaya koymaktadır.
Önerilen Eylemler ve Önlemler
Devam etmekte olan bu kötü niyetli faaliyetler ışığında, kuruluşların güvenlik açıklarını gidermek için belirtilen yamanın bir an önce uygulanması büyük önem taşımaktadır. Ayrıca, FortiCloud SSO özelliğinin devre dışı bırakılması ve yalnızca güvenilir dahili kullanıcıların yönetim arayüzlerine erişim iznine sahip olması gerektiği vurgulanmaktadır.
Yönetici parolalarının genellikle karmaşık şekilde saklanmasına rağmen, tehdit aktörlerinin zayıf parolalar üzerinden bu parolaların kırılabildiği bilinmektedir. Arctic Wolf, Fortinet kullanıcılarına, bu durumdan şüphelenenlerin şifrelerini sıfırlamaları ve dışa aktarılan konfigürasyonlar üzerinden tüm sızma belirtilerinin gözden geçirilmesi gerektiğini belirtmektedir.
Sonuç
Fortinet FortiGate cihazlarında keşfedilen bu kritik güvenlik açıkları, kurumların ağ güvenliği stratejilerini gözden geçirmeleri ve önlemlerini güçlendirmeleri için bir fırsat sunmaktadır. Kötü niyetli saldırılara karşı hassasiyet gerektiren bu alan, sürekli olarak güncellenen bir mücadele alanıdır ve siber güvenlik alanındaki en son gelişmelerin yakından takip edilmesi önemlidir. Unutulmamalıdır ki, siber güvenlikte proaktif önlemler almak, olası saldırıların etkisini en aza indirmek için hayati bir rol oynamaktadır.
