Web Shell İhlali: Fortinet FortiWeb Tehditi
Son günlerde, Fortinet FortiWeb sistemlerinin birden fazla örneği, web shell’lerle enfekte olarak bildirildi. Bu durumun, CVE-2025-25257 olarak takip edilen yeni bir uzaktan kod yürütme (RCE) açığı üzerinden gerçekleştirilen kamuya açık istismarların sonucu olduğuna inanılmaktadır. Tehdit izleme platformu The Shadowserver Foundation, 14 Temmuz tarihinde 85 enfeksiyon ve hemen ardından gelen günde ise 77 enfeksiyon tespit ettiğini duyurdu.
CVE-2025-25257 Açığının Tehlikesi
CVE-2025-25257, FortiWeb’in 7.6.0 ile 7.6.3, 7.4.0 ile 7.4.7 ve 7.0.0 ile 7.0.10 versiyonları arasında bulunan kritik bir pre-authenticated RCE açığıdır. Fortinet, 8 Temmuz 2025 tarihinde bu açığı kapatmak üzere yamanın yayınlandığını belirterek, kullanıcıların FortiWeb 7.6.4, 7.4.8, 7.2.11 veya 7.0.11 ve sonraki versiyonlara yükseltmeleri gerektiğini vurguladı.
Fortinet, “SQL komutlarında kullanılan özel öğelerin yanlış bir şekilde nötralize edilmesi (SQL Enjeksiyonu) açığı, yetkisiz bir saldırganın özenle hazırlanmış HTTP veya HTTPs istekleri aracılığıyla yetkisiz SQL kodu veya komutları yürütmesine izin verebilir” şeklinde tanımlıyor. Bu açıklama, kullanıcıların güvenlik durumunu ciddi derecede sorgulamasına neden oldu.
Açığın Kapsamı ve Aktif İstismar
11 Temmuz tarihinde, siber güvenlik firması WatchTowr ve açığın ortak keşfedicisi olan “faulty *ptrrr”, kamuya açık olarak istismarları duyurdu. Bu istismarlar, güncellenmemiş sistemlere web shell yerleştirme veya ters shell açma yöntemlerini göstermekteydi.
İstismar, /api/fabric/device/status adresine gönderilen özelleştirilmiş yetkilendirme başlıkları aracılığıyla SQL enjeksiyonu uygulayarak, Python’un ‘site-packages’ dizinine kötü amaçlı bir .pth dosyası yazmayı içeriyor. Ardından, uzaktan erişilen meşru bir FortiWeb CGI betiği (/cgi-bin/ml-draw.py), kötü amaçlı .pth dosyasının içindeki kodun yürütülmesine neden olarak cihaz üzerinde uzaktan kod yürütmeye olanak tanıyor.
The Shadowserver Foundation tarafından yayımlanan güncel bilgiler, aktif istismarların gerçekleştiğini göstermekle birlikte, sistem yöneticileri için yamanın ne kadar acil olduğunu bir kez daha hatırlatıyor. Takip edilen verilere göre, 223 FortiWeb yönetim arayüzü hala açık durumdaydı. Ancak hangi versiyonların çalıştığına dair bir görünürlük mevcut değil.
Global Etki ve Zararın Dağılımı
Kötü amaçlı saldırılara maruz kalan noktaların en çoğu, Amerika Birleşik Devletleri‘nde (40), ardından Hollanda (5), Singapur (4) ve Birleşik Krallık (4) gibi ülkelerde tespit edilmiştir. FortiWeb, büyük işletmeler, devlet ajansları ve yönetilen güvenlik hizmet sağlayıcıları tarafından kullanılan bir Web Uygulama Güvenlik Duvarı (WAF) olarak, istenmeyen HTTP trafiğini engellemek ve tespit etmek için kritik bir rol oynamaktadır.
Güncelleme Yapmanın Önemi ve Alınması Gereken Önlemler
Güncellemeleri yapmanın önemi göz ardı edilmemelidir. Fortinet, kullanıcılarını güvenli bir versiyona geçmelerine teşvik ederken, eğer hemen bir yükseltme yapılamıyorsa, önerilen ilk adım, HTTP/HTTPS yönetim arayüzünü kapatmak ve hedeflenen zayıf bileşene erişimi kısıtlamaktır. Bu, zararlı isteklerin metin değişimi yoluyla cihaz üzerinde bir etki yaratmasını önemli ölçüde azaltacaktır.
Güncel yazılımın hemen yüklenmesinin mümkün olmadığı durumlarda, yöneticilerin dikkatli olması ve maruz kalabilecekleri tehlikeleri minimize etmek için gerekli önlemleri almaları hayati bir önem taşımaktadır.
Sonuç ve Gelecek İhtimalleri
Web uygulama güvenliği, giderek daha karmaşık hale gelen saldırı teknikleriyle daha da kritik bir hal alıyor. CVE-2025-25257 gibi açıkların tespiti ve bu tür istismarların hızlı bir şekilde yayılması, tüm organizasyonların güvenlik önlemlerini güncellemeleri gerektiğini gösteriyor. Yönetim arayüzlerinin güvenliği, kötü niyetli yazılımların yayılmasını önlemek için son derece önemlidir. Gelecekte, siber güvenlik alanında daha fazla adaptasyon ve önlem almak, bu tür tehditlerin etkilerini en aza indirmek için şart olacaktır.
Sonuç olarak, FortiWeb gibi güvenlik duvarı sistemlerinin güncel tutulması, organizasyonların siber tehditlere karşı savunma kapasitesini artıracaktır. Siber güvenlik, yalnızca teknoloji kullanımı ile değil, aynı zamanda sürekli eğitim, uygulama ve önleme yöntemleriyle de güçlendirilmelidir. Gelişen teknolojiye ayak uydurmak ve meydana gelebilecek herhangi bir tehdit karşısında proaktif olmak, her sektörde kritik bir gereklilik haline gelmiştir.
