Fortinet, Ivanti ve SAP Yazılımlarında Kritik Güvenlik Açıkları ve Acil Yama Çağrısı

Fortinet Ürünlerinde Kriptografik İmza Doğrulama Açıkları

Fortinet, FortiOS, FortiWeb, FortiProxy ve FortiSwitchManager ürünlerinde kriptografik imzanın yanlış doğrulanmasına bağlı iki kritik güvenlik açığını (CVE-2025-59718, CVE-2025-59719) açıkladı. Bu açıklar, FortiCloud SSO özelliği etkinse, kötü niyetli bir saldırganın doğrulanmamış SAML mesajları ile kimlik doğrulamasını atlamasına olanak tanıyor. Ancak Fortinet, FortiCloud SSO’nun varsayılan olarak devre dışı olduğunu belirtti. Sistem yöneticilerine, yamalar uygulanana kadar FortiCloud SSO girişini devre dışı bırakmaları öneriliyor.

Ivanti Endpoint Manager’da Kritik Stored XSS ve Uzaktan Kod Çalıştırma

Ivanti Endpoint Manager (EPM) ürününde, özellikle 2024 SU4 SR1 öncesi sürümlerde dört güvenlik açığı giderildi. Bunlardan CVE-2025-10573 kodlu Stored XSS açığı, doğrulanmamış saldırganların yönetici oturumunda rastgele JavaScript çalıştırmasına izin veriyor. Bu durum, sahte yönetilen uç noktalar eklenerek yönetici panosunun kötü amaçlı kodla zehirlenmesiyle gerçekleşiyor. Ayrıca, aynı sürümde CVE-2025-13659, CVE-2025-13661 ve CVE-2025-13662 gibi üç yüksek şiddetli uzaktan kod çalıştırma açığı da kapatıldı. Bu zafiyetlerin bazıları kriptografik imza doğrulama hatalarından kaynaklanıyor.

SAP Ürünlerinde Üç Kritik Güvenlik Açığı

SAP, Aralık 2025 güvenlik güncellemeleri kapsamında 14 açığı kapattı; bunlardan üçü kritik seviyede. CVE-2025-42880, SAP Solution Manager’da uzaktan kod enjeksiyonuna izin verirken, CVE-2025-55754 Apache Tomcat bileşeninde çoklu açıklara işaret ediyor. CVE-2025-42928 ise SAP jConnect SDK’da Sybase ASE için serileştirme açığı olarak uzaktan kod çalıştırmaya olanak sağlıyor. Başarılı sömürü için yükseltilmiş ayrıcalıklar gerekiyor. SAP’nin merkezi rolü nedeniyle bu yamaların zamanında uygulanması önem taşıyor.

Saldırı Zinciri ve Teknik Detaylar

• Fortinet: Kötü amaçlı hazırlanmış SAML mesajları ile FortiCloud SSO kimlik doğrulamasının atlanması (CVE-2025-59718, CVE-2025-59719).
• Ivanti: Stored XSS yoluyla yönetici panelinde JavaScript çalıştırma, sahte uç nokta ekleme ve yönetici oturumunun ele geçirilmesi (CVE-2025-10573). Ayrıca, uzaktan kod çalıştırma için üç yüksek şiddetli açık (CVE-2025-13659, CVE-2025-13661, CVE-2025-13662).
• SAP: Uzaktan kod enjeksiyonu ve serileştirme açığı yoluyla kritik sistemlerde yetkisiz kod çalıştırma (CVE-2025-42880, CVE-2025-55754, CVE-2025-42928).

Sistem Yöneticileri ve SOC Ekipleri İçin Öneriler

1. Fortinet FortiCloud SSO özelliği etkinse, güncelleme yapılana kadar devre dışı bırakın.
2. Ivanti Endpoint Manager 2024 SU4 SR1 sürümüne yükseltme yaparak kritik ve yüksek şiddetli açıkları kapatın.
3. SAP sistemlerinde Aralık 2025 güncellemelerini hızla uygulayın.
4. EDR ve SIEM çözümlerinde bu CVE’lere yönelik imza ve kural güncellemelerini entegre edin.
5. Yönetici panellerine erişimi sıkılaştırmak için IAM politikalarını gözden geçirin ve MFA uygulayın.
6. Şüpheli SAML mesajlarını ve kimlik doğrulama trafiğini loglayarak anormal aktiviteleri izleyin.
7. Ağ segmentasyonu ile kritik yönetim trafiğini izole edin ve erişim kontrollerini sıkılaştırın.
8. Kullanıcı arayüzü temizliği ve ayrıcalık segmentasyonu ile saldırı yüzeyini azaltın.

Kurumsal Senaryo: Finans Sektöründe Riskler

Bir finans kurumunda Fortinet FortiOS cihazları FortiCloud SSO ile yönetiliyorsa, saldırganlar doğrulanmamış SAML mesajları ile yönetici erişimini ele geçirebilir. Aynı kurumda Ivanti Endpoint Manager kullanılıyorsa, yönetici panosuna zararlı JavaScript enjekte edilerek oturumlar çalınabilir. SAP tabanlı sistemlerde ise kritik iş süreçlerini yürüten modüllerde uzaktan kod çalıştırma riski bulunur. Bu durum, finansal verilerin sızması ve operasyonel aksamalara yol açabilir.

Bu tür karmaşık saldırı zincirlerine karşı, çok katmanlı savunma stratejileri, düzenli yama yönetimi ve kapsamlı olay müdahale planları kritik önemdedir.