Fortinet Güvenlik Açığı Sonrası 86 Binden Fazla Cihaz Hedef Haline Geldi
Haziran 2026 itibarıyla siber güvenlik literatürüne “FortiBleed” kod adıyla geçen küresel bir siber saldırı dalgası raporlandı. Cybersecurity and Infrastructure Security Agency (CISA), National Cyber Security Centre (NCSC) ve Fortinet koordinasyonunda yayımlanan güncel CTI (Cyber Threat Intelligence – Siber Tehdit İstihbaratı) verilerine göre, internete açık durumda bulunan 86.644 FortiGate sınır güvenlik cihazı (firewall ve VPN ağ geçitleri) sızma girişimlerine maruz kaldı.
Olay, güvenlik araştırmacısı V. Diachenko’nun, 194 ülkeye ait aktif kimlik bilgilerini ve otomasyon betiklerini barındıran açık bir C2 (Command and Control – saldırganların uzaktan kontrol altyapısı) sunucusunu tespit etmesiyle ortaya çıktı.
Fortinet Güvenlik Açığı Saldırısı Nasıl Gerçekleştiriliyor?
Rusça konuşan tehdit aktörleri tarafından yürütülen bu kampanya, gelişmiş bir zero-day (önceden bilinmeyen güvenlik açığı) istismarından ziyade, otomatize edilmiş iki aşamalı bir credential stuffing (ele geçirilmiş kullanıcı bilgilerinin tekrar denenmesi) mimarisine dayanıyor.
- Keşif ve İlk Erişim (Initial Access): Aktörler, internet üzerindeki Fortinet uzaktan erişim uç noktalarını (endpoints – sisteme giriş sağlayan servis noktaları) kitlesel olarak taradı. Ardından geçmiş veri ihlallerinden elde edilen kullanıcı adı ve parola kombinasyonlarını brute-force (kaba kuvvet saldırısı) ve sözlük saldırılarıyla sistemlere karşı kullandı.
- Ağ İçi Yayılım ve Kalıcılık (Lateral Movement):Sistemde yetki elde eden aktörler, ağ trafiğini pasif olarak sniffing (ağ üzerindeki verileri dinleme yöntemi) ile analiz ederek ek kimlik bilgileri topladı. Toplanan veriler daha sonra doğrulanmış global erişim veritabanlarına eklenerek saldırı yüzeyi genişletildi.
Bulgular ve Mimari Zafiyet Analizi
- Zayıf Parola Hijyeni ve Varsayılan Hesaplar: SOCRadar analizlerine göre ele geçirilen hesapların %35’i admin hesapları, %28,3’ü ise yerleşik sistem hesaplarından oluşuyor. Bu durum birçok kurumda hâlâ varsayılan (default) sistem ayarlarının değiştirilmediğini ve parola rotasyon politikalarının uygulanmadığını gösteriyor. En çok etkilenen sektörler ise telekomünikasyon, kritik kamu altyapıları ve eğitim sektörü olarak öne çıkıyor.
- Kriptografik Geriye Dönük Uyumluluk Açığı (Legacy Hashing): Fortinet, güncel FortiOS sürümlerinde (7.2.11, 7.4.8 ve 7.6.1) parola güvenliği için PBKDF2 (güçlü parola koruma algoritması) sistemine geçti. Ancak sistem eski sürümlerden yükseltildiğinde (upgrade), mevcut yönetici şifrelerinin hash değerleri kullanıcı yeniden giriş yapana kadar eski SHA-256 formatında kalabiliyor. Saldırganlar, yapılandırma (config) dosyalarında bulunan bu eski hash verilerini kullanarak şifreleri kırabiliyor. Araştırmalara göre süreçte CVE-2026-24858, CVE-2025-59718 ve CVE-2025-59719 gibi geçmiş zafiyetler de kullanıldı.
Fortinet Güvenlik Açığı İçin Uzmanlar Hangi Önlemleri Öneriyor?
Fortinet CISO’su Carl Windsor ve CISA, ağ dayanıklılığını artırmak için şu güvenlik önlemlerini öneriyor:
- Tüm aktif SSL VPN ve admin oturumlarının sonlandırılması (session revocation) ve global parola sıfırlama işlemlerinin yapılması.
- Kimlik doğrulama süreçlerinde MFA (Çok Faktörlü Kimlik Doğrulama) kullanımının zorunlu hale getirilmesi.
- Sistemlerin güncel kararlı sürümlere (7.4, 7.6 veya 8.0) yükseltilmesi ve PBKDF2 entegrasyonunun tamamlanması.
- Uzaktan yönetim arayüzlerinin internete tamamen kapatılması veya yalnızca güvenilir IP adresleriyle sınırlandırılması (ACL politikaları).
- Active Directory (AD/LDAP) entegrasyonu bulunan yapılarda, ağ loglarının SIEM (Güvenlik Olay Yönetim Sistemi) üzerinden geriye dönük analiz edilmesi.