Fortinet ürünleri, dünya genelinde kurumsal ağ güvenliğinin temel bileşenlerinden biri olarak kullanılmaktadır. Ancak son zamanlarda FortiOS ve FortiProxy yazılımlarında tespit edilen güvenlik açıkları; saldırganların internet üzerinden erişilebilen yönetim arayüzleri aracılığıyla cihazlara sızarak süper yönetici (super-admin) yetkileri elde etmesine olanak tanımaktadır. Bu makalede, açığın genel özellikleri, sömürü yöntemleri, saldırı süreci, log ve IOC (göstergeler) detayları, etkilenen sistemlerin tespiti, risk değerlendirmesi ile alınması gereken önlemler detaylandırılacaktır.
1. Güvenlik Açığının Genel Özellikleri
1.1 Açığın Tanımı ve Etkilenen Sürümler
- CVE-2025-24472:
Bu açık, FortiOS 7.0.0 ile 7.0.16, FortiProxy 7.0.0 ile 7.0.19 ve FortiProxy 7.2.0 ile 7.2.12 sürümlerini etkilemektedir. Saldırganlar, kötü niyetli hazırlanmış CSF proxy istekleri aracılığıyla kimlik doğrulama mekanizmasını atlayarak süper yönetici haklarını elde edebilmektedir. Fortinet, ilgili sorunu FortiOS 7.0.17 ve FortiProxy 7.0.20/7.2.13 veya üzeri sürümlerde düzeltti. - CVE-2024-55591:
Daha önce yayınlanan advisory kapsamında yer alan bu açık, saldırganların Node.js websocket modülüne yönelik kötü niyetli istekler ile aynı şekilde süper yönetici yetkisi kazanmasına olanak sağlıyordu. Her iki açığın birlikte ele alınması, saldırı vektörlerinin çeşitliliğini gözler önüne sermektedir.
1.2 Fortinet’in Güncelleme ve Uyarıları
Fortinet, yayınladığı güncellemelerde CVE-2025-24472 açığının Ocak ayında zaten yamalandığını belirtmiş, ancak güncellemeyi uygulamayan sistemlerin risk altında olduğunu vurgulamıştır. Önceden yapılan CVE-2024-55591 güncellemeleri, bazı durumlarda yeni açığa karşı da koruma sağlayabilmektedir.
2. Sömürü (Exploitation) Detayları
2.1 Sömürü Nedir?
Sömürü, bir sistemdeki güvenlik açığından yararlanarak saldırganın yetkisiz erişim, hesap oluşturma, yapılandırma değişikliği gibi işlemleri gerçekleştirmesidir. Bu tür saldırılar, sistem kaynaklarının kontrolünü ele geçirmek ve kurumsal ağa sızmak amacıyla kullanılmaktadır.
2.2 Açığın Nasıl Sömürüldüğü
Saldırı Yöntemleri:
- CSF Proxy İstekleri Üzerinden Saldırı:
Saldırganlar, kötü niyetli olarak oluşturulan CSF proxy istekleri ile kimlik doğrulama mekanizmasını atlayıp, sistemde süper yönetici yetkilerini ele geçirebilmektedir. - Node.js Websocket Modülü Üzerinden Saldırı:
CVE-2024-55591 kapsamında, saldırganlar kötü niyetli istekler göndererek Node.js websocket modülündeki zafiyeti kullanmakta, bu sayede benzer şekilde sisteme müdahale edebilmektedir.
3. Saldırı Süreci, Teknik İşleyiş ve Log Detayları
3.1 Saldırı Süreci ve Teknik İşleyiş
Saldırının genel aşamaları aşağıdaki gibidir:
- Aşama 1: Erişim Sağlama
Saldırgan, hedef sistemin internet üzerinden erişilebilen yönetim arayüzüne yönlendirilen CSF proxy istekleri veya Node.js websocket istekleri aracılığıyla sisteme sızar. - Aşama 2: Hesap Oluşturma
Başarılı erişimin ardından, saldırgan rastgele oluşturulan kullanıcı adlarıyla (örneğin: Gujhmk, Ed8x4k, G0xgey) yönetici veya yerel kullanıcı hesapları ekler. - Aşama 3: Konfigürasyon Değişiklikleri
Oluşturulan hesaplar üzerinden; firewall politikalarında değişiklikler, SSL VPN kullanıcı gruplarına yetkisiz üyelik eklenmesi ve diğer kritik ayarların modifikasyonu gerçekleştirilir. Bu sayede saldırgan, iç ağa tünel açarak lateral movement (yan hareket) gerçekleştirebilir.
3.2 Log ve IOC (Göstergeler) Detayları
Raporlarda yer alan bazı örnek log kayıtları, saldırı izlerinin tespitinde önemli rol oynamaktadır:
Admin Giriş Logları:
type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="..." user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 dstip=1.1.1.1 ... Bu log kaydında, “jsconsole” arayüzü üzerinden yapılan giriş, saldırganın uzaktan erişim sağladığını işaret edebilmektedir.
Yeni Yönetici Hesaplarının Oluşturulması:
type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configured" user="admin" ui="jsconsole(127.0.0.1)" action="Add" ... cfgobj="vOcep" Rastgele oluşturulan kullanıcı adlarının ve ip parametrelerinin loglanması, saldırı izlerini belirlemede ipucu sunar. Not: Loglarda görülen IP adresleri (örneğin 1.1.1.1, 127.0.0.1, 2.2.2.2, 8.8.8.8, 8.8.4.4) saldırganın kullandığı rastgele değerler olup, gerçek kaynak adreslerini yansıtmamaktadır.
4. Etkilenen Misiniz? – Kontrol ve Tespit Yöntemleri
4.1 Etkilenen Sistem Belirleme
Kuruluşunuzda kullanılan ürün sürümleri aşağıdaki kriterleri karşılıyorsa, bu zafiyetlerden etkilenme riski bulunmaktadır:
- FortiOS: 7.0.0 ile 7.0.16 arası sürümler.
- FortiProxy: 7.0.0 – 7.0.19 veya 7.2.0 – 7.2.12 sürümleri.
Eğer ilgili ürünlerde güncelleme yapılmadıysa, saldırganlar uzaktan erişim sağlayarak sistemi hedef alabilir.
4.2 Tespit Yöntemleri
Sisteminizde saldırı izlerini tespit etmek için aşağıdaki adımları izleyebilirsiniz:
- Log Analizi:
Yönetim arayüzü loglarını inceleyin. “jsconsole” üzerinden yapılan giriş denemeleri ve rastgele oluşturulmuş yönetici/yerel hesap logları dikkat çekicidir. Ayrıca, SSL VPN kullanıcı grubu konfigürasyonlarındaki beklenmeyen değişiklikler de ipucu verebilir. - Yapılandırma İncelemesi:
Yetkisiz hesapların eklenip eklenmediğini kontrol edin. Firewall politika ve ayarlarda izinsiz modifikasyon olup olmadığını denetleyin. - Ağ Trafiği İzleme:
İnternet üzerinden yönetim arayüzlerine yönelik olağan dışı trafik veya tekrarlayan anomali tespitlerine dikkat edin.
5. Kritik mi? – Risk Değerlendirmesi
5.1 Riskin Ciddiyeti
- Yüksek Risk:
Bu zafiyetler, özellikle internet erişimine açık yönetim arayüzlerine sahip sistemler için ciddi risk oluşturmaktadır. Saldırganların “super admin” yetkileri elde edebilmesi, tüm sistem üzerinde tam kontrol sağlamalarına neden olabilir. - Önceden Yamalanmış Olması:
Fortinet, CVE-2025-24472 açığının Ocak ayında yamalandığını belirtmiş olsa da, güncellemeleri uygulamayan sistemler hâlâ risk altındadır. - Çok Yönlü Saldırı Yöntemleri:
Hem CSF proxy istekleri hem de Node.js websocket modülü üzerinden gerçekleştirilebilen saldırılar, saldırganların farklı teknikleri deneyebileceğini göstermektedir.
5.2 Etki Alanı
Güncelleme yapılmamış sistemlerde saldırı sonrası ortaya çıkabilecek etkiler şunlardır:
- Yetkisiz hesaplarla yönetim erişimi,
- Firewall ve VPN konfigürasyonlarında izinsiz değişiklik,
- Dahili ağa yetkisiz tünelleme (lateral movement) ve bunun sonucunda ağ kaynaklarına erişim.
6. Önerilen Çözümler ve Mitigasyonlar
6.1 Yazılım Güncellemeleri
En kritik adım, Fortinet tarafından yayımlanan yamaların uygulanmasıdır:
- FortiOS: En az 7.0.17 veya üzeri sürüme güncelleme.
- FortiProxy:
- 7.0 serisi için: 7.0.20 ve üzeri
- 7.2 serisi için: 7.2.13 ve üzeri
6.2 Geçici Çözüm Önerileri
Eğer güncelleme hemen yapılamıyorsa, aşağıdaki önlemleri uygulamak önerilir:
Yönetim Arayüzü Erişiminin Kısıtlanması:
HTTP/HTTPS üzerinden erişimi devre dışı bırakın veya yalnızca güvenilir IP adreslerinden erişime izin verecek şekilde local-in policy yapılandırması uygulayın.
Örnek yapılandırma:
config firewall address
edit "my_allowed_addresses"
set subnet <güvenilir_IP_aralığı>
next
end
config firewall addrgrp
edit "MGMT_IPs"
set member "my_allowed_addresses"
next
end
config firewall local-in-policy
edit 1
set intf port1
set srcaddr "MGMT_IPs"
set dstaddr "all"
set action accept
set service "HTTPS" "HTTP"
set schedule "always"
set status enable
next
edit 2
set intf "any"
set srcaddr "all"
set dstaddr "all"
set action deny
set service "HTTPS" "HTTP"
set schedule "always"
set status enable
next
endCSF İstekleri İçin Ek Önlem:
Eğer Security Fabric (CSF) özelliği aktifse, CLI üzerinden aşağıdaki komut ile devre dışı bırakabilirsiniz:
config system csf set status disable endYönetici Hesap Adlarının Özelleştirilmesi:
Varsayılan veya kolay tahmin edilebilecek kullanıcı adları yerine, güçlü ve benzersiz kullanıcı adları kullanmak, brute-force saldırılarına karşı ek koruma sağlayacaktır.
Sonuç
FortiOS ve FortiProxy’deki bu güvenlik açıkları, saldırganların internet üzerinden erişilebilen yönetim arayüzleri aracılığıyla sisteme sızıp süper yönetici yetkileri elde etmesine olanak tanımaktadır. Saldırının teknik işleyişi; erişim sağlama, rastgele hesap oluşturma ve yapılandırma değişiklikleri aşamalarından oluşmaktadır. Log ve IOC kayıtlarının düzenli incelenmesi, saldırı izlerinin tespitinde kritik rol oynamaktadır.
Kuruluşların, etkilenen sürümleri tespit ederek güncel yamaları uygulamaları, yönetim arayüzlerine erişimi kısıtlamaları ve sürekli log ile trafik analizleri yapmaları, bu tür saldırıların etkilerini en aza indirmek için elzemdir. Çok katmanlı güvenlik stratejilerinin benimsenmesi, saldırganların sistemlere sızmasını zorlaştıracak ve kurumsal ağların güvenliğini artıracaktır.
#CyberSecurity #NetworkSecurity #Fortinet #ZeroDay #Infosec #FirewallSecurity #ThreatIntelligence #SOC #BlueTeam #CVE
About the Author
