Fortinet Güvenlik Açığı ve Son Gelişmeler
Fortinet, dünya genelinde siber güvenlik çözümleri sunan lider bir firma olarak, son dönemlerde kritik bir güvenlik açığı ile gündeme geldi. Bu açık, uzaktan kod yürütme (RCE) zafiyeti olarak tanımlanan CVE-2025-32756 koduyla takip edilmektedir. Özellikle FortiVoice kurumsal telefon sistemlerinde hedef alınan bu güvenlik açığı, kötü niyetli saldırganlar tarafından exploit edilmiştir.
Stack Tabanlı Taşma Zafiyeti
CVE-2025-32756, stack-based overflow sorununu içermektedir. Bu tür zafiyetler, bir uygulamanın veya sistemin hatalı bir şekilde bellek alanını aşarak diğer alanlara erişmesine neden olabilir. Fortinet’in güvenlik bültenine göre, bu zafiyet FortiMail, FortiNDR, FortiRecorder ve FortiCamera gibi diğer ürünleri de etkilemektedir.
Başarıyla exploit edilen bu zafiyet, uzaktan kimlik doğrulaması olmayan saldırganların, kötü niyetle hazırlanmış HTTP istekleri aracılığıyla istedikleri kodları veya komutları çalıştırmalarına olanak tanıyabilir.
Saldırıların Tespiti ve Etkileri
Fortinet’in Ürün Güvenliği Ekibi, bu zafiyetin ortaya çıkmasını sağlayan olaylar üzerine detaylı bir analiz gerçekleştirdi. Yapılan çalışmalarda, ağ taramaları, sistem çöküş günlüğü silme çabaları gibi aktiviteler tespit edildi. Ayrıca, saldırganların fcgi debugging ayarını etkinleştirdiği görülmektedir.
Bu durum, sistemden SSH giriş denemeleri ya da kimlik bilgilerini kaydetmek amacıyla yapılmaktadır. Fortinet tarafından yapılan açıklamada, saldırganların, toplamda altı farklı IP adresinden saldırılar gerçekleştirdiği ve bu IP adreslerinin bir kısmının aşağıda listelendiği belirtildi:
- 198.105.127[.]124
- 43.228.217[.]173
- 43.228.217[.]82
- 156.236.76[.]90
- 218.187.69[.]244
- 218.187.69[.]59
Karşılaşılan Kompromis İşaretleri
Saldırı analizi sırasında tespit edilen bazı kompromis işaretleri, sistemlerde fcgi debugging ayarının etkinleştirildiğini gösteriyor. Eğer bu ayarı kontrol etmek isterseniz, cihazınızda şu komutu çalıştırmanız yeterlidir: diag debug application fcgi. Eğer çıktı olarak "general to-file ENABLED" ifadesini görüyorsanız, bu ayar etkin durumdadır.
Fortinet’in yaptığı incelemeler, saldırganların ele geçirdikleri cihazlarda kötü amaçlı yazılımlar dağıtmasının yanı sıra, kullanıcı kimlik bilgilerini toplamak için cron job kurulumu yaptıklarını da ortaya koymuştur. Ayrıca, kurbanların ağını taramak amacıyla script düşürme işlemi de gerçekleştirilmiştir.
Yapılması Gereken Önlemler
Fortinet, kullanıcılarına hemen güncellemeleri yükleyemeyenler için bazı önlemler önermektedir. İlk olarak, saldırıya uğramış cihazlarda HTTP/HTTPS yönetim arayüzü devre dışı bırakılmalıdır. Bu, zafiyetin kullanılamaz hale gelmesine yardımcı olacaktır.
Geçtiğimiz ayda, Shadowserver Foundation tarafından tespit edilen olaylarda, internet üzerinden erişime açık 16.000’den fazla Fortinet cihazı yeni bir symlink backdoor kullanılarak ele geçirilmiştir. Bu arka kapı, saldırganların hassas dosyalara yalnızca okuma yetkisi ile erişimini sağlamaktadır. Bu durum, önceki saldrılarda hacklenmiş ancak şimdi yamanmış cihazlarda gerçekleşmiştir.
Var Olan Diğer Güvenlik Açıkları
Nisan ayının başlarında, Fortinet ayrıca kritik bir güvenlik açığı olan FortiSwitch zafiyetinden bahsetmiştir. Bu zafiyet, uzaktan yönetici parolalarının değiştirilmesine olanak tanıyabilir.
Bu tür güvenlik açıkları, siber tehditlerin boyutunun giderek arttığını göstermektedir ve her işletmenin, sürekli güncel kalması ve siber güvenlik önlemlerini artırması gerektiğinin altını çizmektedir.
Sonuç olarak, güvenlik açıklarının tespiti ve zamanında güncellenmesi, sadece bireysel kullanıcılar için değil, tüm işletmeler için hayati bir öneme sahip. Fortinet gibi firmaların, bu tür güvenlik açıklarını hızla tespit edip kullanıcılarına bilgilendirme yapması, siber güvenlik için oldukça kritik bir adımdır.
