CISA’dan Kritik Fortinet: CISA’dan Kritik Fortinet Güvenlik Açığı Uyarısı: 86 Binden Fazla Cihaz Risk Altında

Fortinet <a href=

CISA’dan Kritik Fortinet — siber güvenlik dünyasında “FortiBleed” olarak adlandırılan küresel bir saldırı dalgası raporlandı. Haziran 2026 itibarıyla, internete açık 86.644 FortiGate sınır güvenlik cihazı (güvenlik duvarları ve VPN ağ geçitleri) sızma girişimlerine maruz kaldı. Bu kritik durum, Cybersecurity and Infrastructure Security Agency (CISA), National Cyber Security Centre (NCSC) ve Fortinet iş birliğiyle yayımlanan güncel siber tehdit istihbaratı (CTI) verileriyle ortaya çıktı. Güvenlik araştırmacısı V. Diachenko, 194 ülkeye ait aktif kimlik bilgileri ve otomasyon betikleri içeren bir C2 (Komuta ve Kontrol) sunucusunu tespit etti.

Fortinet Güvenlik Açığı Saldırısı Nasıl Gerçekleşti?

Bulgular ve Mimari Zafiyet Analizi icin gorsel anlatim

Rusça konuşan tehdit aktörleri tarafından yürütülen bu kampanya, sıfırıncı gün (zero-day) açığı istismarından ziyade, iki aşamalı otomatik bir kimlik bilgisi doldurma (credential stuffing) mimarisine dayanıyor. Saldırının aşamaları şu şekilde ilerledi:

  • Keşif ve İlk Erişim: Aktörler, internet üzerindeki Fortinet uzaktan erişim uç noktalarını toplu olarak taradı. Geçmiş veri ihlallerinden elde edilen kullanıcı adı ve parola kombinasyonlarını kaba kuvvet (brute-force) ve sözlük saldırılarıyla sistemlere karşı kullandı.
  • Ağ İçi Yayılım ve Kalıcılık: Sisteme yetkisiz erişim sağlayan aktörler, ağ trafiğini pasif olarak dinleyerek (sniffing) ek kimlik bilgileri topladı. Bu veriler, doğrulanmış global erişim veritabanlarına eklenerek saldırı yüzeyini genişletti.

Bulgular ve Mimari Zafiyet Analizi

Saldırının temelinde yatan bazı önemli zafiyetler ve bulgular mevcut. SOCRadar analizleri, ele geçirilen hesapların önemli bir kısmının zayıf parola hijyeni ve varsayılan ayarlardan kaynaklandığını gösteriyor.

SOCRadar analizlerine göre ele geçirilen hesapların %35’i admin hesapları, %28,3’ü ise yerleşik sistem hesaplarından oluşuyor. Bu durum birçok kurumda hâlâ varsayılan (default) sistem ayarlarının değiştirilmediğini ve parola rotasyon politikalarının uygulanmadığını gösteriyor.

En çok etkilenen sektörler telekomünikasyon, kritik kamu altyapıları ve eğitim olarak belirlendi. Ayrıca, Fortinet’in eski sürümlerden yükseltme yapıldığında ortaya çıkan kriptografik geriye dönük uyumluluk açığı da saldırganlar tarafından kullanıldı.

Kriptografik Geriye Dönük Uyumluluk Açığı

Fortinet, güncel FortiOS sürümlerinde (7.2.11, 7.4.8 ve 7.6.1) parola güvenliği için PBKDF2 algoritmasına geçiş yaptı. Ancak sistem eski sürümlerden yükseltildiğinde, mevcut yönetici şifrelerinin hash değerleri kullanıcı yeniden giriş yapana kadar eski SHA-256 formatında kalabiliyor. Saldırganlar, yapılandırma dosyalarında bulunan bu eski hash verilerini kullanarak şifreleri kırabildi. Araştırmalar, süreçte CVE-2026-24858, CVE-2025-59718 ve CVE-2025-59719 gibi geçmiş zafiyetlerin de kullanıldığını ortaya koydu.

Zafiyet Kodu Açıklama
CVE-2026-24858 Geçmiş bir güvenlik açığı
CVE-2025-59718 Geçmiş bir güvenlik açığı
CVE-2025-59719 Geçmiş bir güvenlik açığı

Fortinet Güvenlik Açığı İçin Uzman Önerileri

Fortinet CISO’su Carl Windsor ve CISA, ağ dayanıklılığını artırmak amacıyla aşağıdaki güvenlik önlemlerini tavsiye ediyor:

  1. Tüm aktif SSL VPN ve yönetici oturumlarını sonlandırın ve global parola sıfırlama işlemlerini gerçekleştirin.
  2. Kimlik doğrulama süreçlerinde Çok Faktörlü Kimlik Doğrulama (MFA) kullanımını zorunlu hale getirin.
  3. Sistemleri güncel kararlı sürümlere (7.4, 7.6 veya 8.0) yükseltin ve PBKDF2 entegrasyonunu tamamlayın.
  4. Uzaktan yönetim arayüzlerini internete tamamen kapatın veya yalnızca güvenilir IP adresleriyle sınırlandırın (ACL politikaları uygulayın).
  5. Active Directory (AD/LDAP) entegrasyonu bulunan yapılarda, ağ loglarını Güvenlik Olay Yönetim Sistemi (SIEM) üzerinden geriye dönük olarak analiz edin.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir