Saldırının Genel Çerçevesi
Ocak 2026’da ortaya çıkan CVE-2026-24858, Fortinet’in FortiOS işletim sisteminde bulunan kritik bir kimlik doğrulama atlatma açığıdır. Bu zafiyet, FortiCloud SSO (Single Sign-On) özelliği etkinleştirildiğinde kötü niyetli aktörlerin başka kullanıcıların cihazlarına kimlik doğrulama gerektirmeden erişim sağlamasına olanak tanır. Saldırganlar, bu erişimi kullanarak yerel yönetici hesapları oluşturabilir, VPN erişimini değiştirebilir ve güvenlik duvarı yapılandırmalarını dışarı çıkarabilirler.
Hangi Sistemler Risk Altında?
Bu açık öncelikle FortiOS, FortiManager ve FortiAnalyzer ürünlerini etkilerken, FortiWeb, FortiProxy ve FortiSwitch Manager gibi diğer Fortinet ürünlerinde de potansiyel riskler araştırılmaktadır. FortiCloud SSO varsayılan olarak kapalıdır ve yalnızca yönetici cihazları FortiCare’e kaydettikten veya ilgili ayar aktif hale getirildikten sonra devreye girer. Bu nedenle, FortiCloud hesabı ve kayıtlı cihazı olan kurumlar öncelikli risk grubundadır.
Saldırı Zinciri ve Teknik Detaylar
- Kullanılan Zafiyet: CVE-2026-24858, FortiOS ve ilgili ürünlerde kimlik doğrulama atlatma açığıdır (CWE-288).
- Saldırı Adımları: Kötü niyetli aktörler FortiCloud SSO etkin sistemlerde, kimlik doğrulama olmadan başka kullanıcıların cihazlarına erişir.
- Hedef Sektörler: Kurumsal ağlar, kamu kurumları ve kritik altyapılar dahil olmak üzere Fortinet ürünleri kullanan tüm sektörler.
- Kötüye Kullanım: Yerel yönetici hesapları oluşturma, VPN erişim yapılandırmalarını değiştirme ve güvenlik duvarı ayarlarını dışarı aktarma.
Fortinet’in Müdahale Süreci
Fortinet, 22 Ocak 2026’da şüpheli iki FortiCloud hesabını engelledi, 26 Ocak’ta FortiCloud SSO’yu devre dışı bıraktı ve 27 Ocak’ta SSO’yu yeniden etkinleştirdi ancak savunmasız cihazlardan girişleri engelledi. Şirket, kullanıcıların FortiOS ve ilgili ürünlerin en güncel sürümlerine yükseltme yapmasını ve ihlal belirtilerini dikkatle incelemesini öneriyor.
Siber Güvenlik Ekipleri İçin Öneriler
- Fortinet cihazlarının en güncel donanım yazılımı sürümünü kullanın.
- Yapılandırmaları yetkisiz değişikliklere karşı düzenli olarak denetleyin ve temiz yedeklerden geri yükleyin.
- LDAP/Active Directory gibi kimlik doğrulama sistemlerinde kullanılan hesap şifrelerini değiştirin.
- FortiCloud SSO kullanımını gereksizse devre dışı bırakın veya erişim kontrollerini sıkılaştırın.
- EDR ve SIEM sistemlerinde Fortinet ürünlerine yönelik anormal erişim ve yapılandırma değişikliklerini izleyin.
- Ağ segmentasyonu ile kritik Fortinet cihazlarını diğer ağ bölümlerinden izole edin.
- Olay müdahale planlarınızı güncelleyerek bu tür kimlik doğrulama atlatma saldırılarına karşı hazırlıklı olun.
Regülasyon ve Uyumluluk Boyutu
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2026-24858’i Bilinen İstismar Edilen Zafiyetler (KEV) listesine ekleyerek Federal Sivil Yürütme Dalları’nın 30 Ocak 2026’ya kadar sorunu gidermesini zorunlu kıldı. Bu gelişme, özellikle kamu kurumları ve kritik altyapı operatörleri için uyumluluk açısından önem taşımaktadır.
Teknik Özet
- Zararlı Araçlar: Henüz spesifik zararlı yazılım adı belirtilmemekle birlikte, istismar yerel yönetici hesapları ve VPN yapılandırmaları üzerinden kalıcılık sağlıyor.
- Hedef Bölgeler: Küresel, Fortinet ürünlerinin yaygın kullanıldığı tüm coğrafyalar.
- Saldırı Zinciri: 1) FortiCloud SSO üzerinden kimlik doğrulama atlatma, 2) Yerel yönetici hesapları oluşturma, 3) VPN ve firewall yapılandırmalarını değiştirme.
- Temel Savunma: Yazılım güncellemeleri, MFA uygulaması, ağ segmentasyonu, düzenli log analizi ve EDR ile anomali tespiti.
Kurumsal Senaryo
Örneğin bir finans kurumu, FortiOS tabanlı FortiGate güvenlik duvarlarını kullanıyor ve FortiCloud SSO özelliğini etkinleştirmiş durumda. Saldırganlar, CVE-2026-24858 açığını kullanarak kimlik doğrulama olmadan yönetici erişimi elde ediyor. Bu erişimle, VPN erişim politikalarını değiştirip, kritik finansal verilere ulaşmak için arka kapılar oluşturuyorlar. Kurumun SIEM ve EDR sistemleri bu anormalleri tespit edip, hızlı müdahale ile saldırının yayılmasını engelliyor.