FortiGate FortiCloud SSO Açıkları: Yeni İstismar Teknikleri ve Korunma Yolları

Anasayfa » FortiGate FortiCloud SSO Açıkları: Yeni İstismar Teknikleri ve Korunma Yolları
Ağ Güvenliği, Saldırı Analizi, Zafiyetler
Ocak 31, 2026Ocak 31, 2026Tarafından Cybernews.TR
0
FortiGate FortiCloud SSO Açıkları: Yeni İstismar Teknikleri ve Korunma Yolları

Saldırının Genel Çerçevesi

Son dönemde Fortinet FortiGate güvenlik duvarlarında, FortiCloud SSO (Single Sign-On) özelliğini hedef alan yeni bir saldırı dalgası gözlemlendi. Bu saldırılar, Fortinet tarafından geçen ay yamalanan CVE-2025-59718 ve CVE-2025-59719 güvenlik açıklarını atlatmayı amaçlıyor. Saldırganlar, kötü amaçlı hazırlanmış SAML mesajları aracılığıyla kimlik doğrulamasını baypas ederek FortiCloud SSO üzerinden yönetici erişimi elde ediyor.

Bu saldırılar, özellikle FortiCloud SSO etkinleştirilmiş ve yamaları uygulanmış FortiGate cihazlarını hedef alıyor. Kötü niyetli aktörlerin, “cloud-noc@mail.io” ve “cloud-init@mail.io” gibi hesaplarla sisteme sızdığı ve kalıcı erişim için genel hesaplar oluşturduğu rapor edildi. Ayrıca, VPN erişimini sağlayan yapılandırma değişiklikleri ve güvenlik duvarı ayarlarının farklı IP adreslerine sızdırılması gibi ek tehdit faaliyetleri de gözlemlendi.

Saldırı Zinciri ve Teknik Detaylar

Saldırı zinciri genel olarak şu adımlardan oluşuyor:

  • Kötü amaçlı SAML mesajları ile FortiCloud SSO kimlik doğrulamasının atlatılması
  • Yönetici hesabına yetkisiz erişim sağlanması
  • Genel kullanıcı hesaplarının oluşturulması ve VPN erişimi için yapılandırma değişiklikleri
  • Güvenlik duvarı yapılandırmalarının dış IP adreslerine sızdırılması

Bu teknikler, MITRE ATT&CK matrisinde Valid Accounts (T1078) ve Credential Access (T1555) gibi taktiklerle örtüşmektedir. Saldırganlar, kalıcılık ve ağ içi hareket kabiliyeti için yapılandırma değişikliklerini kullanıyor.

Siber Güvenlik Ekipleri İçin Öneriler

Bu tehditlere karşı alınabilecek önlemler şunlardır:

  • FortiCloud SSO özelliğini geçici olarak devre dışı bırakmak veya kullanımını sınırlandırmak
  • Yönetici erişimini sadece yerel ağdan veya güvenli VPN üzerinden erişilebilir kılmak
  • Güvenlik duvarı ve VPN yapılandırmalarını düzenli olarak denetlemek ve olağan dışı değişiklikleri takip etmek
  • EDR ve SIEM çözümleri ile FortiGate cihazlarından gelen logları detaylı analiz etmek
  • Çok faktörlü kimlik doğrulama (MFA) uygulamak ve SAML mesajlarını doğrulayan ek kontroller eklemek
  • Ağ segmentasyonu ile kritik yönetim arayüzlerine erişimi kısıtlamak
  • Olay müdahale (incident response) planlarını güncelleyerek bu tür SSO atlatma saldırılarına karşı hazırlıklı olmak

Kurumsal Ortamlarda Olası Senaryo

Örneğin bir finans kurumunda FortiGate güvenlik duvarları FortiCloud SSO ile yönetiliyorsa, bu açıklar saldırganların doğrudan yönetici hesaplarına erişim sağlamasına ve kritik ağ yapılandırmalarını değiştirmesine olanak tanıyabilir. Bu durum, finansal verilerin sızdırılması, iç ağda lateral hareket ve fidye yazılımı gibi daha karmaşık saldırıların tetiklenmesine yol açabilir. Bu nedenle, kurumların e-posta güvenliği ve bulut güvenliği politikalarını güçlendirmeleri, ayrıca ağ segmentasyonu ve erişim kontrollerini sıkılaştırmaları gerekmektedir.

, , , , , , ,