Aralık 2025’te, Fortinet FortiGate cihazlarında bulunan iki kritik SAML SSO kimlik doğrulama atlama açığı (CVE-2025-59718 ve CVE-2025-59719) aktif olarak istismar edilmeye başlandı. Bu zafiyetler, FortiCloud SSO özelliği etkin olan sistemlerde, kötü niyetli hazırlanmış SAML mesajları aracılığıyla kimlik doğrulamasının atlanmasına olanak tanıyor. Son raporlar, saldırıların özellikle FortiOS, FortiWeb, FortiProxy ve FortiSwitchManager ürünlerini etkilediğini gösteriyor.
Saldırının Genel Çerçevesi
Saldırganlar, sınırlı sayıda barındırma sağlayıcısına ait IP adreslerini kullanarak “admin” hesaplarına yönelik kötü amaçlı SSO girişleri gerçekleştirdi. Bu girişlerin ardından, aynı IP adreslerinden cihaz yapılandırmaları GUI üzerinden dışa aktarıldı. Siber güvenlik ekipleri, saldırıların henüz erken aşamada olduğunu ve etkilenen ağların nispeten küçük bir bölümünü kapsadığını belirtiyor. Saldırıların kaynağı ve aktörleri henüz net olarak tespit edilemedi, ancak mevcut örüntülerin fırsatçı saldırılar olduğu değerlendiriliyor.
Hangi Sistemler Risk Altında?
FortiCloud SSO varsayılan olarak devre dışı bırakılmış olsa da, FortiCare kayıt sürecinde yöneticiler bu özelliği açık bırakmadığı sürece otomatik olarak etkinleşebiliyor. Bu durum, özellikle FortiCloud SSO kullanarak yönetici girişine izin veren ayarın aktif olduğu sistemlerde risk oluşturuyor. FortiOS ve ilgili Fortinet ürünlerinin eski sürümleri, yamalar uygulanana kadar savunmasız kalmaya devam ediyor.
Saldırı Zinciri ve Teknik Detaylar
- Kullanılan Zafiyetler: CVE-2025-59718 ve CVE-2025-59719, CVSS 9.8 puanıyla yüksek risk taşıyor (NVD CVE-2025-59718).
- Saldırı Adımları: 1) Hazırlanmış SAML mesajları ile kimlik doğrulama atlanıyor, 2) Yetkisiz “admin” erişimi sağlanıyor, 3) Cihaz yapılandırmaları dışa aktarılıyor.
- Hedef Sektörler: Ağ altyapısı yöneten kurumlar, bulut servis sağlayıcıları ve kritik altyapılar.
- Kullanılan Araçlar: Kötü amaçlı SSO girişleri için otomatikleştirilmiş scriptler ve GUI üzerinden yapılandırma dışa aktarma.
- MITRE ATT&CK Referansı: T1078 (Valid Accounts), T1550 (Use of Valid Accounts), T1114 (Email Collection) ile bağlantılı olabilecek kimlik doğrulama atlama teknikleri.
Siber Güvenlik Ekipleri İçin Öneriler
- Fortinet tarafından yayımlanan yamaları derhal uygulayın.
- FortiCloud SSO özelliğini devre dışı bırakın veya erişimi sıkı şekilde kontrol edin.
- Firewall ve VPN yönetim arayüzlerine erişimi sadece güvenilir dahili kullanıcılarla sınırlandırın.
- Kimlik bilgilerini içeren yapılandırmaları dışa aktarma işlemlerini izleyin ve anormal aktiviteleri SIEM sistemleriyle tespit edin.
- EDR çözümleriyle cihazlarda olağan dışı davranışları ve yetkisiz erişimleri takip edin.
- Olay müdahale planlarınızı güncelleyerek bu tür kimlik doğrulama atlama saldırılarına karşı hazırlıklı olun.
- Yapılandırmalarda saklanan hash’lenmiş kimlik bilgilerini düzenli olarak sıfırlayın ve güçlü parola politikaları uygulayın.
- Güvenlik duvarı ve ağ segmentasyonu ile kritik yönetim trafiğini izole edin.
Regülasyon ve Uyumluluk Boyutu
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 16 Aralık 2025 tarihinde CVE-2025-59718’i Bilinen Sömürülmüş Güvenlik Açıkları (KEV) listesine ekleyerek Federal Sivil Yürütme Dalları’nın 23 Aralık 2025 tarihine kadar yamaları uygulamasını zorunlu kıldı. Bu gelişme, kritik altyapı ve kamu kurumları için uyumluluk ve risk yönetimi açısından önemli bir adım olarak değerlendiriliyor.
Teknik Özet
- Zararlı Faaliyetler: Kötü amaçlı SSO girişleri, yapılandırma dışa aktarma.
- Hedeflenen Sistemler: FortiOS, FortiWeb, FortiProxy, FortiSwitchManager.
- Kullanılan Zafiyetler: CVE-2025-59718, CVE-2025-59719.
- Saldırı Zinciri: SAML mesaj manipülasyonu → Yetkisiz erişim → Yapılandırma dışa aktarma.
- Önerilen Savunma: Güncel yamalar, MFA, erişim kısıtlamaları, EDR ve SIEM entegrasyonları.