Siber güvenlik dünyası, 2026 yılına oldukça hareketli bir başlangıç yaptı ve bu hareketliliğin merkezinde yine kritik altyapıların vazgeçilmez ismi Fortinet yer alıyor. Özellikle kurumsal ağların savunma hattını oluşturan FortiGate cihazlarını ve FortiOS işletim sistemini hedef alan yeni bir zafiyet, güvenlik araştırmacıları ve sistem yöneticileri arasında tam anlamıyla bir alarm durumuna neden oldu. The Hacker News tarafından servis edilen son dakika gelişmesine göre Fortinet cephesi, vahşi doğada aktif olarak sömürüldüğü tespit edilen CVE-2026-24858 kodlu kritik bir güvenlik açığını kapatmak için acil bir yama setini yayına aldı.
Bu olay, siber saldırganların artık sadece yazılımlardaki basit hataları değil, karmaşık ağ protokollerindeki derin mantık kusurlarını nasıl ustalıkla kullandığını bir kez daha gözler önüne seriyor. İşte bu kritik zafiyetin anatomisi, saldırganların izlediği yol ve sistemlerinizi korumak için atmanız gereken hayati adımlar üzerine kapsamlı bir inceleme.
CVE-2026-24858 Dosyası Nedir?
Fortinet’in resmi bültenlerinde “yüksek” ve yer yer “kritik” ciddiyet seviyesiyle tanımlanan bu açık, temel olarak FortiOS işletim sistemindeki SSL-VPN modülü içerisinde yer alan bir Yığın Tabanlı Arabellek Taşması hatasından kaynaklanıyor.
Teknik terimlerden arındıracak olursak; saldırgan, hedef cihazın VPN giriş kapısına özel olarak yapılandırılmış, normalden çok daha uzun veya beklenmedik karakter dizileri içeren bir veri paketi gönderiyor. Cihaz bu paketi işlerken, kendisine ayrılan bellek sınırlarını aşıyor ve taşan veri, sistemin komut yürütme alanlarına sızıyor. Sonuç olarak saldırgan, cihaz üzerinde en yetkili kullanıcı (root) haklarıyla rastgele kod çalıştırabiliyor.
Fortinet, Sorunu Çözecek Yamayı Yayınlanmadan Önce Saldırılar Başladı
Bu vakayı diğerlerinden ayıran ve karakter sayısını hak eden en vahim detay, zafiyetin bir zero-day (Sıfır Gün) olarak ortaya çıkmasıdır. Güvenlik analiz firmaları, Fortinet yamayı hazırlayıp sunmadan haftalar önce, bazı devlet destekli siber casusluk gruplarının APT, yani Advanced Persistent Threat açığını kullanarak seçilmiş hedeflere sızdığını raporladı.
Özellikle kamu kurumları, enerji nakil hatları ve finans devleri gibi kritik öneme sahip kuruluşların VPN ağ geçitleri bu saldırıların odağındaydı. Saldırganların stratejisi oldukça sinsi: Önce VPN üzerinden içeri sızıyorlar, ardından ağ içerisinde yatay ilerleme yöntemleri adı verilen bir yöntemle diğer sunuculara yayılıyorlar. İşin en kötü yanı ise, bu süreçte hiçbir kimlik bilgisine (kullanıcı adı veya şifre) ihtiyaç duymuyor olmaları. Sadece açık bir VPN portu (genellikle 443 veya 10443) saldırının başlaması için yeterli.
Fortinet’in geniş ürün yelpazesi göz önüne alındığında, bu açığın etki alanı oldukça geniş bir yelpazeye yayılıyor. Yapılan incelemeler sonucunda aşağıdaki FortiOS sürümlerinin doğrudan risk altında olduğu onaylandı:
- FortiOS 7.4 Serisi: 7.4.0 ile 7.4.3 arası tüm sürümler.
- FortiOS 7.2 Serisi: 7.2.0 ile 7.2.7 arası tüm sürümler.
- FortiOS 7.0 Serisi: 7.0.10 ve altındaki tüm eski sürümler.
- FortiOS 6.4 Serisi: Artık destek süresi dolsa da birçok kurumda hala aktif olan bu sürümler de ciddi risk altında.
Eğer kurumunuzda bu sürümlerden biri çalışıyorsa, sisteminiz şu anda internete açık bir davetiye çıkarıyor olabilir.
Fortinet Ne Yapılmasını Öneriyor?
Fortinet, siber güvenlik dünyasındaki itibarını korumak ve müşterilerini daha fazla riske atmamak adına, alışılagelmiş yama takviminin dışına çıkarak ara sürümler yayınladı. Şirket, tüm sistem yöneticilerine “hiç vakit kaybetmeden” aşağıdaki güncellemelere geçilmesini şiddetle tavsiye ediyor:
- Güncelleme Yapın: Sistemlerinizi derhal FortiOS 7.4.4, 7.2.8 veya üstü sürümlere yükseltin.
- Geçici Çözüm: Eğer yamayı hemen uygulayacak durumda değilseniz, geçici bir önlem olarak SSL-VPN özelliğini tamamen kapatın. Bu durum uzaktan çalışmayı aksatabilir ancak veri sızıntısından çok daha küçük bir zarardır.
- Log Analizi: Cihaz loglarınızda
/remote/logincheckgibi uç noktalara gelen anormal miktardaki POST isteklerini inceleyin. Eğer sisteminizde daha önce hiç görmediğiniz IP adreslerinden gelen başarısız ama garip diziler içeren giriş denemeleri varsa, halihazırda hedef alınmış olabilirsiniz.
Kaynak: The Hacker News