Genel Bakış
CVE ID: CVE-2025-52970
Kod Adı: “Fort-Majeure”
CVSS Skoru: 7.7 (Yüksek)
CWE Sınıflandırması: CWE-233 (Improper Handling of Parameters)
Etkilenen Ürün: Fortinet FortiWeb Web Application Firewall
İlk Yayın Tarihi: 12 Ağustos 2025
Fortinet IR No: FG-IR-25-448
Keşfeden: Aviv Y (@0x_shaq)
Güvenlik Açığı Nedir?
CVE-2025-52970, FortiWeb web uygulama güvenlik duvarında bulunan kimlik doğrulama bypass açığıdır. Bu açık, saldırganların kimlik doğrulaması yapmadan sistemdeki herhangi bir mevcut kullanıcının yetkilerini ele geçirmesine olanak tanır.
Teknik Detaylar
Saldırı Türü: Authentication Bypass (Kimlik Doğrulama Atlama)
Temel Sebep: Cookie parsing mekanizmasındaki parametre işleme hatası
Saldırı Vektörü: Session cookie’lerindeki “Era” parametresinin manipüle edilmesi
Saldırı Yöntemi: Out-of-bounds read access sorunu sömürülmesi
Uzaklık: Ağ üzerinden uzaktan sömürülebilir
Güvenlik Açığı Nasıl Çalışır?
1. Session Cookie Yapısı
FortiWeb’deki session cookie’si üç ana bileşenden oluşur:
- Era değeri: Zamanlama ve versiyon kontrolü
- Şifrelenmiş payload: Session bilgilerini içeren veri
- Authentication hash: Doğrulama özetı
2. Sömürülme Mekanizması
Adım 1: Saldırgan "Era" parametresini 2-9 arasında manipüle eder
Adım 2: Out-of-bounds read tetiklenir
Adım 3: Sistem tahmin edilebilir "sıfır" encryption key kullanmaya zorlanır
Adım 4: Saldırgan, kompromize edilmiş key ile session oluşturabilir
Adım 5: Herhangi bir kullanıcının yetkilerini ele geçirebilir
3. Kritik Zayıflık
Normal durum: Sistem rastgele encryption key’leri kullanmalı
Açık durumu: Sistem öngörülebilir “all-zero” key’leri kullanıyor
Etkilenen Sürümler ve Çözümler
Güncellenebilir Sürümler
| FortiWeb Sürümü | Etkilenen Versiyonlar | Çözüm |
|---|---|---|
| 8.0.x | Etkilenmiyor | Aksiyon gerekmiyor |
| 7.6.x | 7.6.0 – 7.6.3 | 7.6.4 veya üstüne güncelle |
| 7.4.x | 7.4.0 – 7.4.7 | 7.4.8 veya üstüne güncelle |
| 7.2.x | 7.2.0 – 7.2.10 | 7.2.11 veya üstüne güncelle |
| 7.0.x | 7.0.0 – 7.0.10 | 7.0.11 veya üstüne güncelle |
Güvenli Sürümler
FortiWeb 8.0.x: Bu açıktan tamamen etkilenmiyor
Saldırının Potansiyel Etkileri
Doğrudan Etkiler
- Herhangi bir kullanıcı olarak sistem erişimi
- Yönetici yetkilerinin ele geçirilmesi
- REST API endpoint’lerinin yetkisiz kullanımı
- CLI bağlantılarının sömürülmesi
Güvenlik Duvarı Fonksiyonlarına Etkiler
- WAF kurallarının devre dışı bırakılması
- Güvenlik politikalarının değiştirilmesi
- Log kayıtlarının manipüle edilmesi
- Güvenlik izlemenin engellenmesi
Organizasyonel Etkiler
- Web uygulamalarının korunmasız kalması
- Hassas verilere yetkisiz erişim
- Compliance gerekliliklerinin ihlal edilmesi
- İtibar kaybı riski
Saldırının Sınırlamaları
Teknik Zorluklar
- Validation number’ın brute-force edilmesi gerekir
- Hedef kullanıcıların aktif session’ları olması şart
- Target cihaz hakkında non-public bilgi gerekir
- Specific kullanıcılar hakkında özel bilgi gerekir
Başarı Olasılığı
- Normal şartlar: Çok düşük olasılık
- Açık sömürülürse: Dramatik şekilde artar
- Aktif session yoksa: Saldırı gerçekleştirilemez
Sömürülme Durumunun Tespiti
İzlenecek Loglar
1. Authentication log'larında anormal başarılı giriş denemeleri
2. Session creation pattern'lerinde anomaliler
3. Era parameter'ında 2-9 arası değerler
4. REST API'de beklenmeyen administrative işlemler
5. CLI bağlantılarında şüpheli aktiviteler
Önerilen Monitoring
- Session cookie analizleri yapın
- Administrative action’ları yakından izleyin
- Login pattern’lerini analiz edin
- API call’larını monitör edin
Risk Değerlendirme
Risk Faktörleri
| Faktör | Seviye | Açıklama |
|---|---|---|
| Teknik Karmaşıklık | Yüksek | Brute-force ve özel bilgi gerekir |
| Etki Derecesi | Yüksek | Tam administrative erişim |
| Tespit Zorluğu | Orta | Log analizi ile tespit mümkün |
| Yaygınlık | Orta | FortiWeb kullanım yaygınlığı |
| Public Exploit | Henüz Yok | Sadece PoC mevcut |
Genel Risk Seviyesi: YÜKSEK
About the Author
