FortiGate Cihazlarına Yönelik 3 Kritik Saldırı Taktikleri ve Hizmet Hesabı İstismarı

Saldırının Genel Çerçevesi

Kasım 2025’ten Şubat 2026’ya kadar devam eden saldırı kampanyasında, FortiGate cihazlarındaki güvenlik açıkları (CVE-2025-59718, CVE-2025-59719, CVE-2026-24858) ve yanlış yapılandırmalar kullanıldı. Saldırganlar, “support” adlı yerel yönetici hesabı oluşturarak cihazlara tam erişim sağladı ve LDAP kimlik bilgilerini içeren yapılandırma dosyalarını ele geçirdi. Bu sayede Active Directory (AD) ortamına sahte iş istasyonları kaydederek yatay hareket kabiliyeti kazandılar.

Hangi Sistemler Risk Altında?

Özellikle sağlık sektörü, kamu kurumları ve yönetilen hizmet sağlayıcıları hedef alındı. FortiGate cihazları, AD ve LDAP gibi kimlik doğrulama altyapılarına entegre edilerek rol tabanlı erişim politikalarını desteklediğinden, bu cihazların ele geçirilmesi ağ içi erişim kontrolünü zayıflatıyor. Ayrıca, saldırganların AWS altyapısından PowerShell komutlarıyla kötü amaçlı yazılım indirmesi, bulut güvenliği risklerini de artırıyor.

Saldırı Zinciri ve Teknik Detaylar

Saldırı zinciri şu adımlardan oluşuyor:

• FortiGate cihazlarına bilinen CVE’ler ve yanlış yapılandırmalar üzerinden erişim sağlanması.
• Yerel yönetici hesabı oluşturulması ve kısıtlamasız güvenlik duvarı politikalarının eklenmesi.
• LDAP kimlik bilgilerini içeren yapılandırma dosyasının çıkarılması ve açık metin kimlik doğrulaması ile AD’ye erişim.
• Sahte iş istasyonları kaydı ve ağ içi yatay hareket.
• Pulseway, MeshAgent gibi uzaktan erişim araçlarının dağıtılması ve bulut ortamından Java tabanlı kötü amaçlı yazılım yüklenmesi.
• NTDS.dit ve SYSTEM kayıt defteri verilerinin dış sunucuya sızdırılması.

Bu teknik detaylar, MITRE ATT&CK taksonomisine göre T1078 (Valid Accounts), T1210 (Exploitation of Remote Services) ve T1041 (Exfiltration Over C2 Channel) gibi tekniklerle örtüşmektedir.

Sistem Yöneticileri ve SOC Ekipleri İçin Pratik Öneriler

• FortiGate cihazlarının yazılımını en güncel yamalarla (özellikle CVE-2025-59718, CVE-2025-59719, CVE-2026-24858) güncel tutun (CVE-2025-59718).
• Hizmet hesaplarının kimlik bilgilerini düzenli olarak değiştirin ve mümkünse MFA ile koruyun.
• EDR ve SIEM çözümleriyle LDAP ve AD erişimlerini sürekli izleyin, anormal kimlik doğrulama girişimlerini tespit edin.
• Güvenlik duvarı kurallarını en az ayrıcalık prensibine göre yapılandırarak gereksiz geniş erişimleri engelleyin.
• Uzaktan erişim araçlarının dağıtımını ve kullanımını sıkı politikalarla kontrol edin.
• Olay müdahale planlarınızı güncelleyerek FortiGate cihazlarına yönelik saldırı senaryolarını dahil edin.
• Ağ segmentasyonu ve Zero Trust mimarisi uygulayarak kritik sistemlere erişimi sınırlandırın.
• Loglarda NTDS.dit ve SYSTEM dosyası gibi hassas veri erişimlerini ve dışa aktarım faaliyetlerini yakından takip edin.

Kurumsal Ortamlarda Olası Senaryo

Örneğin bir sağlık kuruluşunda, FortiGate cihazlarının ele geçirilmesiyle saldırganlar, AD ortamına sızarak hasta verilerine erişim sağlayabilir. Sahte iş istasyonları kaydederek iç ağda hareket kabiliyeti kazanır ve kritik sistemlere erişim elde eder. Bu durum, hem hasta gizliliği hem de operasyonel süreklilik açısından ciddi tehdit oluşturur. Bu nedenle, kurumların ağ segmentasyonu ve IAM politikalarını güçlendirmesi hayati önem taşır.