FortiGate Güvenlik Duvarlarında FortiCloud SSO İstismarıyla Otomatik Yapılandırma Değişiklikleri

Anasayfa » FortiGate Güvenlik Duvarlarında FortiCloud SSO İstismarıyla Otomatik Yapılandırma Değişiklikleri
Ağ Güvenliği, Siber Tehditler, Zafiyetler
Ocak 31, 2026Ocak 31, 2026Tarafından Cybernews.TR
0
FortiGate Güvenlik Duvarlarında FortiCloud SSO İstismarıyla Otomatik Yapılandırma Değişiklikleri

Saldırının Genel Çerçevesi

Ocak 2026 itibarıyla ortaya çıkan yeni bir kötü amaçlı kampanya, Fortinet FortiGate cihazlarında FortiCloud tek oturum açma (SSO) mekanizmasını hedef alıyor. Saldırganlar, CVE-2025-59718 ve CVE-2025-59719 güvenlik açıklarını kullanarak, FortiCloud SSO kimlik doğrulamasını atlayabiliyor ve böylece yetkisiz erişim sağlıyor. Bu zafiyetler FortiOS, FortiWeb, FortiProxy ve FortiSwitchManager gibi Fortinet ürünlerini etkiliyor.

Kampanya kapsamında, dört farklı IP adresinden “cloud-init@mail.io” adlı kötü amaçlı bir hesapla SSO girişleri gerçekleştiriliyor. Ardından, güvenlik duvarı yapılandırma dosyaları GUI arayüzü üzerinden aynı IP adreslerine aktarılıyor. Bu süreç otomatik olarak saniyeler içinde tamamlanıyor ve saldırganların kalıcılık için “secadmin”, “itadmin”, “support”, “backup”, “remoteadmin” ve “audit” gibi ikincil hesaplar oluşturduğu gözlemleniyor.

Saldırı Zinciri ve Teknik Detaylar

Bu saldırı kampanyasında kullanılan teknikler ve araçlar şu şekilde özetlenebilir:

  • Kullanılan Zafiyetler: CVE-2025-59718 ve CVE-2025-59719, FortiCloud SSO kimlik doğrulamasını atlayarak yetkisiz erişim sağlıyor. Detaylı bilgi
  • Hedef Sistemler: FortiOS, FortiWeb, FortiProxy, FortiSwitchManager gibi Fortinet ürünleri
  • Saldırı Adımları: Kötü amaçlı SSO girişleri → İkincil yönetici hesaplarının oluşturulması → VPN erişimi veren yapılandırma değişiklikleri → Güvenlik duvarı yapılandırmasının dışa aktarılması
  • Otomasyon: Tüm işlemler saniyeler içinde gerçekleşerek saldırının otomatik olduğunu gösteriyor

Sistem Yöneticileri ve SOC Ekipleri İçin Öneriler

  • FortiCloud SSO özelliğini geçici olarak devre dışı bırakın veya erişim kontrollerini sıkılaştırın.
  • FortiOS ve ilgili Fortinet ürünlerini en güncel yamalarla güncelleyin.
  • Güvenlik duvarı ve VPN yapılandırmalarında olağan dışı değişiklikleri SIEM sistemleri ile sürekli izleyin.
  • Yetkisiz hesap oluşturma ve erişim denemeleri için EDR çözümlerinde özel kurallar oluşturun.
  • Güvenlik duvarı yönetim arayüzü erişimlerini ağ segmentasyonu ile sınırlandırın.
  • SSO ve IAM politikalarını gözden geçirerek çok faktörlü kimlik doğrulama (MFA) uygulayın.
  • Olay müdahale (incident response) planlarında Fortinet ürünlerine yönelik özel senaryolar geliştirin.
  • Güvenlik duvarı loglarını düzenli olarak analiz ederek anormal aktiviteleri tespit edin.

Kurumsal Ortamlarda Olası Senaryo

Örneğin, bir finans kurumunda FortiGate cihazları kritik ağ geçidi görevindedir. Saldırganların FortiCloud SSO zafiyetini kullanarak yönetici hesaplarına erişim sağlaması, ağ segmentasyonunu aşarak hassas verilere ulaşmalarına olanak tanır. Bu durum, finansal verilerin sızdırılması veya fidye yazılımı saldırılarının tetiklenmesi gibi sonuçlara yol açabilir. Bu nedenle, kurumların e-posta güvenliği ve bulut güvenliği önlemlerini güçlendirmeleri, ağ segmentasyonu ve IAM politikalarını sıkılaştırmaları hayati önem taşır.

, , , , , , , , ,