Fortinet’in web uygulama güvenlik duvarı ürünü FortiWeb’de, 8.0.2 sürümünde sessizce yamalanmış kritik bir güvenlik açığı aktif olarak istismar ediliyor. watchTowr güvenlik ekibi tarafından tespit edilen bu zafiyet, saldırganların kimlik doğrulama mekanizmasını atlayarak yönetici yetkileriyle yeni hesaplar oluşturmasına olanak tanıyor. Bu durum, saldırganların hedef sistemlerde kalıcı erişim sağlaması için yeni bir kapı aralıyor.

Açığın Teknik Detayları ve İstismar Mekanizması

Bilgi güvenliği araştırmacıları, bu açığın bir HTTP POST isteği aracılığıyla “/api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi” yoluna özel bir yük gönderilerek tetiklendiğini belirtiyor. Bu istek, FortiWeb’in yönetici hesapları yönetim modülünde kimlik doğrulama kontrollerini atlayarak yeni yönetici kullanıcıları yaratılmasına imkan tanıyor. Defused ve PwnDefend araştırmacısı Daniel Card tarafından paylaşılan örneklerde, “Testpoint”, “trader1” ve “test1234point” gibi kullanıcı adlarıyla birlikte karmaşık şifreler kullanıldığı gözlemlendi.

Bu tür saldırılar, özellikle FortiWeb cihazlarının konteyner tabanlı mimarilerde rastgele atanmış SSH portları üzerinden yönetildiği ortamlarda daha tehlikeli hale gelebilir. Saldırganlar, MCP istemcisi benzeri araçlarla veya Pydantic AI tabanlı otomasyonlarla bu zafiyeti otomatikleştirerek geniş çaplı erişim elde edebilir. AsyncRAT gibi uzaktan erişim araçlarıyla entegre edildiğinde, saldırganların ağda kalıcılığı ve hareketliliği artmaktadır.

Yama Durumu ve Güvenlik Topluluğunun Tepkisi

Fortinet, bu açığa henüz resmi bir CVE numarası atamamış ve PSIRT uyarısı yayımlamamıştır. Ancak Rapid7, 6 Kasım 2025 tarihinde popüler bir kara şapka forumunda FortiWeb için iddia edilen bir sıfırıncı gün açığının satışa sunulduğunu raporladı. Bu durum, istismarın yaygınlığı ve potansiyel tehlikesi hakkında ciddi endişeler yaratmaktadır.

watchTowr CEO’su Benjamin Harris, kullanıcıların öncelikle sistemlerinde önceki ihlal belirtilerini araştırmaları, Fortinet ile iletişime geçmeleri ve mümkün olan en kısa sürede yamaları uygulamaları gerektiğini vurguladı. Yamanmamış cihazların büyük olasılıkla zaten saldırganların kontrolünde olduğu düşünülmektedir.

İlgili Araçlar ve Tespit Yöntemleri

Bilgi güvenliği topluluğu, kimlik doğrulama atlatma zafiyetine karşı savunmasız cihazları tespit etmek için özel araçlar geliştirmiştir. Bu araçlar, FortiWeb cihazlarının API çağrılarını analiz ederek anormal POST isteklerini ve yönetici hesaplarında beklenmedik değişiklikleri tespit etmeye odaklanır. Ayrıca, konteyner ortamlarında çalışan FortiWeb örneklerinin rastgele atanmış SSH portları üzerinden izlenmesi, saldırıların erken tespiti için kritik öneme sahiptir.

Daha fazla teknik detay ve güncel bilgiler için Fortinet’in resmi PSIRT sayfası ve CVE veri tabanları takip edilmelidir: CVE-2025-XXXX Detayları.

Sonuç ve Öneriler

Fortinet FortiWeb ürünündeki bu kritik kimlik doğrulama atlatma açığı, saldırganlara yüksek ayrıcalıklı erişim sağlama potansiyeli taşıyor ve özellikle kritik altyapılar için ciddi bir risk oluşturuyor. Siber güvenlik profesyonellerinin, FortiWeb cihazlarını acilen güncellemeleri, anormal yönetici hesap aktivitelerini izlemeleri ve saldırı göstergelerini sürekli takip etmeleri gerekiyor. Ayrıca, konteyner tabanlı dağıtımlarda rastgele SSH portlarının güvenliğinin sağlanması ve MCP istemcisi benzeri otomasyon araçlarının kullanımının kontrol altında tutulması önem taşıyor.

Daha fazla gönderi

Aralık 28, 2025Aralık 28, 2025

Türkiye Firmaları İçin Safetica DLP: Veri Kaybını Önlemede Kritik Bir Çözüm

Safetica DLP, Türkiye'deki firmalar için veri kaybını önlemede kritik bir çözüm sunar. KVKK uyumu ve iç tehditlere karşı geliştirilmiş teknik özellikleriyle, kurumların veri güvenliğini sağlamada önemli bir rol oynar.

Daha Fazla Oku

Aralık 25, 2025Aralık 25, 2025

Digiever DS-2105 Pro NVR Cihazlarında Kritik Uzaktan Kod Çalıştırma Açığı Aktif İstismar Ediliyor

Digiever DS-2105 Pro ağ video kayıt cihazlarındaki CVE-2023-52163 numaralı kritik uzaktan kod çalıştırma açığı, aktif olarak kötü amaçlı botnetler tarafından hedefleniyor. Güvenlik yamalarının bulunmaması ve cihazların kullanım ömrünün sonuna yaklaşması nedeniyle, kurumların riskleri azaltmak için acil önlemler alması gerekiyor.

Daha Fazla Oku

Aralık 25, 2025Aralık 25, 2025

FortiOS SSL VPN’de 2FA Atlama Açığı: Teknik Detaylar ve Korunma Yöntemleri

Fortinet'in FortiOS SSL VPN ürününde bulunan CVE-2020-12812 kodlu kimlik doğrulama açığı, belirli LDAP ve yerel kullanıcı yapılandırmalarında iki faktörlü kimlik doğrulamasını atlamaya olanak sağlıyor. Bu zafiyet, özellikle yönetici ve VPN kullanıcılarını etkiliyor ve aktif olarak istismar ediliyor. Güvenlik ekipleri için kapsamlı önlemler ve yapılandırma önerileri kritik önem taşıyor.

Daha Fazla Oku

Aralık 20, 2025Aralık 20, 2025

Fortinet FortiGate SAML SSO Açıklarıyla Gerçek Zamanlı Saldırılar ve Korunma Yöntemleri

Fortinet FortiGate cihazlarında SAML tabanlı SSO kimlik doğrulama atlama açıkları, 2025 Aralık ayında aktif olarak istismar edildi. Siber saldırganlar, FortiCloud SSO özelliğini hedef alarak yönetici hesaplarına yetkisiz erişim sağladı. Kuruluşların kritik yamaları hızla uygulaması ve erişim kontrollerini sıkılaştırması gerekiyor.

Daha Fazla Oku

P	S	Ç	P	C	C	P
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31