Fortinet: FortiWeb, FortiManager ve diğerlerindeki yüksek riskli boşluklar

Fortinet buna Patchday adını vermiyor ancak Patchday tarihine paralel olarak çeşitli ürünler için çeşitli güvenlik güncellemeleri yayınlıyor. FortiWeb, FortiManager ve FortiClientLinux'ta yüksek riskli boşluklar bulunur. Saldırganlar erişim noktalarına komutlar enjekte edebilir veya kaba kuvvet saldırıları gerçekleştirebilir.

En ciddi güvenlik açığı FortiClientLinux'u etkiliyor. Bağlantı izleme güvenlik açığı, genişletilmiş ayrıcalıklara sahip olmayan yerel kullanıcıların ayrıcalıkları root'a yükseltmesine olanak tanır (CVE-2026-24018, CVSS 7.4risk”yüksekYetersiz etkileşim hızı kontrolü, kimliği doğrulanmamış saldırganların, özel hazırlanmış isteklerle (CVE-2026-24017, CVSS) FortiWeb'in kimlik doğrulama hızı sınırını aşmasına olanak tanır. 7.3risk”yüksek“). FortiWeb sürümleri 7.0.12, 7.2.12, 7.4.11, 7.6.6 ve 8.0.3 veya üzeri hatayı düzeltir. FortiManager'ın fgtupdates hizmetinde, ağda kayıtlı olmayan saldırganlar tarafından hizmete yönelik manipüle edilmiş istekler işlenirken yığın tabanlı bir arabellek taşması meydana gelebilir ve ardından hangi komutlar enjekte edilebilir ve yürütülebilir (CVE-2025-54820, CVSS 7.0risk”yüksek“). FortiManager 7.2.11 ve 7.4.3 ile daha yeni sürümler, güvenlik açığını giderir; hala 6.4 sürümünü kullanan herkesin en son sürümlere güncellemesi gerekir. Fgtupdates hizmeti etkinse, yalnızca devre dışı bırakmak da yardımcı olabilir.

Fortinet 15 güvenlik açığını daha listeliyor:

• GUI'de MFA'yı atlayın, FortiAnalyzer (+Bulut), FortiManager (+Bulut) (CVE-2026-22572, CVSS 6.8risk”orta“)
• FortiWeb API'sine işletim sistemi komutları ekleme, FortiWeb (CVE-2025-66178, CVSS 6.7risk”orta“)
• fazsvcd, FortiAnalyzer (+Cloud), FortiManager (+Cloud) (CVE-2025-68648, CVSS) içindeki format dizesi güvenlik açığı 6.5risk”orta“)
• Belgelenmemiş CLI Komutu, FortiAnalyzer (+Bulut), FortiManager (+Bulut) (CVE-2025-48418, CVSS) Kullanarak Ayrıcalık Yükseltmesi 6.4risk”orta“)
• İlk SSO kimlik doğrulaması sırasında TLS sertifika doğrulamasının olmaması, FortiAnalyzer, FortiManager (CVE-2025-68482, CVSS) 6.3risk”orta“)
• FortiDeceptor yönetim arayüzündeki dosyaların keyfi olarak silinmesi (CVE-2026-25689, CVSS) 6.0risk”orta“)
• API'de yığın arabellek taşması, FortiWeb (CVE-2026-30897, CVSS) 5.9risk”orta“)
• API Güvenliğinde Yığın Tabanlı Arabellek Taşması, FortiWeb (CVE-2026-24640, CVSS) 5.9risk”orta“)
• jsonrpc API'sine SQL enjeksiyonu, FortiAnalyzer(+BigData) (CVE-2025-49784, CVSS 5.6risk”orta“)
• Güvenli Ana Bilgisayar Adı Atlaması, FortiWeb (CVE-2025-48840, CVSS 5.0risk”orta“)
• LDAP Sunucu Seçeneğinde XSS, FortiSandbox (CVE-2025-53608, CVSS 4.6risk”orta“)
• Siteler Arası Komut Dosyası Çalıştırma (XSS), FortiSIEM (CVE-2026-25972, CVSS) hata sayfasına yansıyor 4.1risk”orta“)
• Hata ayıklama günlüklerinde, FortiMail, FortiRecorder, FortiVoice'de (CVE-2025-55717, CVSS) açık metin parolalarının güvenli olmayan şekilde açığa çıkması 3.8risk”Bas“)
• Yarış Durumu, FortiAnalyzer (+Bulut), FortiManager (+Bulut) (CVE-2026-22629, CVSS) aracılığıyla Kimlik Doğrulama Engellemesini Atlayın 3.4risk”Bas“)
• Anti-Defacement özelliğinde boş işaretçi referansı, FortiWeb (CVE-2026-24641, CVSS) 2.5risk”Bas“)

FortiGate güvenlik duvarı ihlalleri, güvenliği ihlal edilmiş AD'lere yol açıyor

Bu arada SentinelOne, FortiGate güvenlik duvarı ihlallerinin analizinin sonuçlarını yayınladı. Siber araştırmacılar başlangıçta, etkilenen kuruluşların, yinelenen bir model olduğu gibi, izinsiz giriş için kullanılan zamanlamayı ve güvenlik açıklarını araştırmalarını engelleyen yeterli sayıda oturum açmadığından şikayet ediyor. Güvenlik duvarı ihlali ile diğer cihazların ele geçirilmesi arasındaki süre neredeyse anından iki aya kadar değişir. Analistler, diğer şeylerin yanı sıra, saldırganların cihaz yapılandırmalarını nasıl araştırdıklarını ve kalıcı erişim sağlayacakları kendi yönetici hesaplarını nasıl oluşturduklarını açıklıyor. Çevrimiçi olarak daha fazla yayılmadan önce, giriş bilgilerinin hala mevcut olup olmadığını kontrol etmek için yalnızca ara sıra girişler yapılıyordu. SentinelOne bunun, üçüncü taraflara crackli erişim satan erken erişim komisyoncularının tipik davranışı olduğuna inanıyor. Daha sonra makineleri AD'ye taşıdılar ve ağa daha fazla erişim kazanmak istediler. Ancak taramalar daha sonra güvenlik uyarılarını tetikledi.

Başka bir durumda saldırganlar, kırılmış FortiGate güvenlik duvarında yerel bir yönetici oluşturdu ve onun AD kimlik bilgilerini okudu. Sonraki on dakika içinde saldırganlar, AD yönetici hesabını kullanarak birden fazla sunucuya giriş yaptı ve uzaktan izleme ve yönetim (RMM) araçlarını yükledi. Raporun yazarlarına göre Pulseway ve MeshAgent meşru yönetim araçlarıdır ancak genellikle kötü niyetli aktörler tarafından kullanılırlar. Saldırganlar daha sonra AWS bulut depolama alanından indirilen kötü amaçlı yazılımları yüklediler. Bunu, birimin gölge kopyasını oluşturmak ve buradan bazı verileri saldırganların sunucularına aktarmak için kullandılar. Bu olaylar, ele geçirilen güvenlik duvarının gerçekten de derin sızma amacıyla kullanıldığını gösteriyor.

Fortinet ürünlerini kullanan herkes mevcut güncellemeleri hızlı bir şekilde yüklemelidir. Ağ ürünlerindeki güvenlik açıkları, siber suçlular tarafından oldukça önemseniyor ve keşfedildikleri anda defalarca saldırıya uğruyor.

(Bilmiyorum)