Kritik Fortinet Açıkları: Güncellemeniz Gerekiyor!

Fortinet, güvenlik ürünlerinde bulunan ve bazıları halihazırda siber saldırılarda aktif olarak kullanılan üç kritik zaafiyet tespit edildiğini duyurdu. Bu açıklar, yetkilendirme olmadan uzaktan kod çalıştırmadan kimlik doğrulama atlamaya ve yerel yetki yükseltmeye kadar çeşitli ciddi güvenlik riskleri oluşturuyor. İşte kurumsal ağ güvenliğinizi doğrudan etkileyebilecek bu zaafiyetler ve alınması gereken önlemler.

Zaafiyetlere Genel Bakış

Bu makalede, Fortinet tarafından açıklanan ve CVSS puanlarına göre sıralanmış üç kritik güvenlik açığını inceleyeceğiz:

1. Stack-based Buffer Overflow Açığı (CVE-2025-32756) – CVSS: 9.6
2. TACACS+ Kimlik Doğrulama Atlama (CVE-2025-22252) – CVSS: 9.0
3. İşletim Sistemi Komut Enjeksiyonu (CWE-78) – Orta Düzey Kritiklik

1. Stack-based Buffer Overflow Zaafiyeti (CVE-2025-32756)

Zaafiyetin Özeti

FortiVoice, FortiMail, FortiNDR, FortiRecorder ve FortiCamera ürünlerinde keşfedilen yığın tabanlı arabellek taşma zaafiyeti, uzaktan yetkilendirilmemiş saldırganların özel hazırlanmış HTTP istekleri üzerinden keyfi kod veya komut çalıştırmasına olanak tanıyor. Bu açık, CWE-121 (Stack-based Buffer Overflow) kategorisinde sınıflandırılmış ve CVSS puanı 9.6 ile “Kritik” seviyede derecelendirilmiştir.

Zaafiyetin Kapsamı ve Etkisi

Fortinet Ürün Güvenlik Ekibi, bu zaafiyetin FortiVoice sistemlerinde gerçek dünyada aktif olarak sömürüldüğünü tespit etmiştir. Bu tür bir zaafiyetin kritikliği, uzaktan erişimle ve yetkilendirme gerektirmeden gerçekleştirilebilmesinden kaynaklanmaktadır, bu da saldırganlara ele geçirilen sistemler üzerinde önemli bir kontrol sağlamaktadır.

Gözlemlenen Saldırı Kalıpları

Gözlemlenen vakalarda tehdit aktörleri aşağıdaki operasyonların bir kısmını veya tamamını gerçekleştirmiştir:

• Cihaz ağını tarama
• Sistem çökme günlüklerini (crashlogs) silme
• Sistem veya SSH giriş denemelerindeki kimlik bilgilerini kaydetmek için fcgi hata ayıklamasını etkinleştirme

Etkilenen Ürünler ve Sürümler

Zaafiyetten etkilenen ürünler ve sürümleri şunlardır:

• FortiVoice: 6.4.0 – 6.4.10, 7.0.0 – 7.0.6, 7.2.0
• FortiMail: 7.0.0 – 7.0.8, 7.2.0 – 7.2.7, 7.4.0 – 7.4.4, 7.6.0 – 7.6.2
• FortiNDR: Tüm 1.x sürümleri, 7.0.0 – 7.0.6, 7.1.x, 7.2.0 – 7.2.4, 7.4.0 – 7.4.7, 7.6.0
• FortiRecorder: 6.4.0 – 6.4.5, 7.0.0 – 7.0.5, 7.2.0 – 7.2.3
• FortiCamera: 1.1.x, 2.0.x, 2.1.0 – 2.1.3

Tehdit Göstergeleri (IoC)

Aşağıdaki belirtiler, sisteminizin bu zaafiyetten etkilenmiş olabileceğini gösterir:

1. Şüpheli Log Kayıtları: [fcgid:warn] [pid 1829] [client x.x.x.x:x] mod_fcgid: error reading data, FastCGI server closed connection [fcgid:error] [pid 1503] mod_fcgid: process /migadmin/www/fcgi/admin.fe(1741) exit(communication error), get unexpected signal 11
2. Zararlı Dosyalar:
   • /bin/wpad_ac_helper – Ana zararlı yazılım dosyası
   • /bin/busybox – Zararlı veya değiştirilmiş program
   • /lib/libfmlogin.so – SSH kimlik bilgilerini kaydetmek için zararlı kütüphane
   • /tmp/.sshdpm – Zararlı kütüphane tarafından toplanan kimlik bilgilerini içerir
   • /bin/fmtest – Ağı taramak için kullanılan script
   • /var/spool/.sync – Cron görevleri tarafından aktarılan kimlik bilgileri
3. Değiştirilmiş Dosyalar:
   • /data/etc/crontab – fcgi.debug’dan hassas verileri almak için cron görevi eklenmiş
   • /var/spool/cron/crontabs/root – fcgi.debug’ı yedeklemek için cron görevi eklenmiş
   • /etc/pam.d/sshd – libfmlogin.so’yu yüklemek için zararlı satırlar eklenmiş
   • /etc/httpd.conf – socks5 modülünü yüklemek için satır eklenmiş
4. Zararlı Ayarlar:
   • FCGI hata ayıklama etkinleştirilmiş (varsayılan değil); kimlik bilgilerini kaydeder
5. Tehdit Aktörü IP Adresleri:
   • 198.105.127.124
   • 43.228.217.173
   • 43.228.217.82
   • 156.236.76.90
   • 218.187.69.244
   • 218.187.69.59
6. Zararlı Cron Görevleri: 0 */12 * * * root busybox grep -rn passw /var/spool/crashlog/fcgi.debug > /var/spool/.sync; cat /dev/null >/var/spool/crashlog/fcgi.debug 0 */12 * * * root cat /var/spool/crashlog/fcgi.debug > /var/spool/.sync; cat /dev/null >/var/spool/crashlog/fcgi.debug

Sistemin Etkilenip Etkilenmediğini Kontrol Etme

FCGI hata ayıklamasının etkinleştirilmiş olup olmadığını kontrol etmek için aşağıdaki CLI komutunu kullanabilirsiniz:

diag debug application fcgi

Çıktı “general to-file ENABLED” gösteriyorsa, FCGI hata ayıklama sisteminizde etkinleştirilmiştir:

fcgi debug level is 0x80041
general to-file ENABLED

Bu varsayılan bir ayar değildir, bu nedenle geçmişte siz etkinleştirmediyseniz, bu potansiyel bir tehdit göstergesidir.

Çözüm Önerileri

1. Mümkün olan en kısa sürede etkilenen sistemleri yeni sürümlere yükseltin:
   • FortiVoice: 6.4.11+, 7.0.7+, 7.2.1+
   • FortiMail: 7.0.9+, 7.2.8+, 7.4.5+, 7.6.3+
   • FortiNDR: 7.0.7+, 7.2.5+, 7.4.8+, 7.6.1+
   • FortiRecorder: 6.4.6+, 7.0.6+, 7.2.4+
   • FortiCamera: 2.1.4+
2. Geçici Çözüm: HTTP/HTTPS yönetim arayüzünü devre dışı bırakın.

2. TACACS+ Kimlik Doğrulama Atlama Zaafiyeti (CVE-2025-22252)

Zaafiyetin Özeti

FortiOS, FortiProxy ve FortiSwitchManager ürünlerinde keşfedilen kritik fonksiyon için eksik kimlik doğrulama zaafiyeti (CWE-306), uzak bir TACACS+ sunucusu kullanacak şekilde yapılandırılmış ve ASCII kimlik doğrulaması kullanmak üzere yapılandırılmış TACACS+ özelliğini etkiliyor. Bu zafiyet, mevcut bir yönetici hesabı bilgisine sahip bir saldırganın, kimlik doğrulama atlatma yoluyla cihaza geçerli bir yönetici olarak erişmesine izin verebilir.

Bu açık, CVSS puanı 9.0 ile “Kritik” seviyede derecelendirilmiş ve yetki yükseltme etkisi taşımaktadır.

Zaafiyetin Kapsamı ve Etkisi

Bu kritik güvenlik açığı, potansiyel olarak saldırganların ağ altyapı cihazları üzerinde tam kontrol elde etmesine, ağa daha fazla sızma, veri hırsızlığı veya hizmet kesintisine yol açabilecek yetkisiz erişim sağlayabilir.

Önemli bir not: Bu zafiyet özellikle ASCII kimlik doğrulama yöntemi kullanan TACACS+ yapılandırmalarını etkiler. PAP, MSCHAP ve CHAP yapılandırmaları etkilenmemektedir.

Etkilenen Ürünler ve Sürümler

Zaafiyetten etkilenen ürünler ve sürümleri şunlardır:

• FortiOS: 7.6.0, 7.4.4 – 7.4.6
• FortiProxy: 7.6.0 – 7.6.1
• FortiSwitchManager: 7.2.5

Aşağıdaki ürünler ve sürümler bu zaafiyetten etkilenmemektedir:

• FortiOS 7.2, 7.0, 6.4
• FortiProxy 7.4, 7.2, 7.0, 2.0
• FortiSwitchManager 7.0

Çözüm Önerileri

1. Yamalı sürümlere güncelleyin:
   • FortiOS 7.6.1 veya üstü
   • FortiOS 7.4.7 veya üstü
   • FortiProxy 7.6.2 veya üstü
   • FortiSwitchManager 7.2.6 veya üstü
2. Geçici Çözüm: Alternatif kimlik doğrulama yöntemleri kullanın:

config user tacacs+
    edit "TACACS-SERVER"
        set server <IP address>
        set key <string>
        set authen-type [pap, mschap, chap]
        set source-ip <IP address>
    next
end

VEYA

config user tacacs+
    edit "TACACS-SERVER"
        set server <IP address>
        set key <string>
        unset authen-type
        set source-ip <IP address>
    next
end

Varsayılan olarak, ASCII kimlik doğrulaması kullanılmayacaktır.

3. İşletim Sistemi Komut Enjeksiyonu Zaafiyeti (CWE-78)

Zaafiyetin Özeti

FortiManager, FortiAnalyzer ve FortiAnalyzer-BigData ürünlerinde keşfedilen bir işletim sistemi komutunda kullanılan özel elemanların uygunsuz nötrleştirilmesi (CWE-78) zaafiyeti, düşük yetkili yerel bir saldırganın, belirli bir CLI komutuna özel olarak hazırlanmış argümanlar aracılığıyla yetkisiz kod çalıştırmasına izin verebilir.

Etkilenen Ürünler ve Sürümler

Zaafiyetten etkilenen ürünler ve sürümleri şunlardır:

• FortiAnalyzer: 6.2.0 – 6.2.11, 6.4.0 – 6.4.12, 7.0.0 – 7.0.8, 7.2.0 – 7.2.3, 7.4.0
• FortiAnalyzer-BigData: 6.2.x, 6.4.x, 7.0.x, 7.2.0 – 7.2.5
• FortiManager: 6.2.0 – 6.2.11, 6.4.0 – 6.4.12, 7.0.0 – 7.0.8, 7.2.0 – 7.2.3, 7.4.0
• FortiManager Cloud: 6.4.x, 7.0.1 – 7.0.8, 7.2.1 – 7.2.3

Çözüm Önerileri

Güvenlik açığından etkilenen sistemleri aşağıdaki sürümlere güncelleyin:

• FortiAnalyzer: 6.2.12+, 6.4.13+, 7.0.9+, 7.2.4+, 7.4.1+
• FortiAnalyzer-BigData: 7.2.6+ (diğer sürümler için daha yeni bir sürüme geçiş yapın)
• FortiManager: 6.2.12+, 6.4.13+, 7.0.9+, 7.2.4+, 7.4.1+
• FortiManager Cloud: 7.0.9+, 7.2.4+ (6.4.x için daha yeni bir sürüme geçiş yapın)

Sonuç ve Öneriler

Bu zaafiyetler, ağ güvenliği altyapısının temel bileşenlerini hedef aldığından, organizasyonlar için ciddi güvenlik riskleri oluşturmaktadır. Özellikle FortiVoice açığının halihazırda aktif olarak saldırılarda kullanıldığı düşünüldüğünde, acil eylem planı hazırlamak büyük önem taşımaktadır.

Tüm Fortinet kullanıcıları için öneriler:

1. Sistem Envanteri Oluşturun: Kullandığınız tüm Fortinet ürünlerini ve sürümlerini belirleyin, etkilenip etkilenmediklerini kontrol edin.
2. Güncelleme Planı Hazırlayın: Öncelikle kritik sistemleri ve halihazırda saldırılarda kullanılan zaafiyetleri barındıran sistemleri güncelleyin.
3. Geçici Çözümleri Uygulayın: Güncelleme yapılana kadar önerilen geçici çözümleri uygulayın.
4. Tehdit Göstergelerini İzleyin: FortiVoice zaafiyeti için belirtilen IoC’leri kontrol edin ve sistemlerinizi izlemeye devam edin.
5. Ağ Segmentasyonu Uygulayın: Etkilenen cihazları mümkün olduğunca izole edin ve kritik sistemlere erişimlerini sınırlayın.

Fortinet, bu zaafiyetleri düzeltmek için güncellemeler yayınladığından, güvenlik sorumluları bu güncellemeleri mümkün olan en kısa sürede uygulamalıdır. Bu tür açıklar, ağ güvenlik cihazlarının kurumsal ağlardaki ayrıcalıklı konumları ve hassas iletişimlere erişimleri nedeniyle saldırganlar için yüksek değerli hedefler olduğunu bir kez daha göstermiştir.

Birlikte Güvende Olalım!

Kaynaklar

1. Stack-based Buffer Overflow (CVE-2025-32756): Fortinet Güvenlik Danışmanlığı FG-IR-25-254
2. TACACS+ Kimlik Doğrulama Atlama (CVE-2025-22252): Fortinet Güvenlik Danışmanlığı FG-IR-24-472
3. İşletim Sistemi Komut Enjeksiyonu: Fortinet Güvenlik Danışmanlığı FG-IR-23-167

About the Author

melih can altan

Administrator

View All Posts