Siber güvenlik sektörü FortiWeb ürünlerinde ortaya çıkan kritik açığa odaklanıyor. İncelemeler yetkisiz erişim sağlanabildiğini gösteriyor. Araştırmacılar saldırganların cihazlar üzerinde yeni yönetici hesapları ekleyebildiğini bildiriyor. Bulgular saldırı yoğunluğunun kısa sürede arttığını gösteriyor.
Açığın Saldırılarda Kullanıldığı Anlaşılıyor
Tehdit istihbaratı ekibi Defused ekim ayının başında yaptığı incelemede FortiWeb cihazlarına gönderilen özel isteklerde yeni yönetici hesaplarının oluşturulduğunu tespit ettiğini bildirdi. Ekibin paylaştığı kayıtlar saldırıların farklı bölgelerde artış gösterdiğini ortaya koyuyor. Cihazlara eklenen “Testpoint”, “trader1” ve “trader” gibi hesapların farklı parola kombinasyonları taşıdığı görülüyor. Parola listesinde karmaşık dizilimlerin bulunması saldırganların hazırlıklı şekilde hareket ettiğini gösteriyor.
Araştırmalar cihazın belirli bir dosya yolunun hedef alındığını ortaya çıkardı. Yetkisiz isteklerin şu yol üzerinden gönderildiği anlaşıldı:
/api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi
Gönderilen POST isteği cihazda yönetici yetkisine sahip yerel bir hesap oluşturuyor. İncelemelerde farklı IP adreslerinin kullanıldığı tespit edildi. Adreslerin geniş bir coğrafi dağılıma sahip olması saldırıların tek bir kaynaktan çıkmadığını gösteriyor. Bazı adresler saldırılarla uzun süredir ilişkilendirilen ağlar arasında yer alıyor.
another exploited in-the-wild FortiWeb vuln? It must be Thursday! pic.twitter.com/F9TQgdJQ4l
— watchTowr (@watchtowrcyber) November 13, 2025
watchTowr Labs araştırması açığın çalıştığını doğruluyor. Ekip cihazda başarısız giriş denemesinin ardından açığı uyguladıktan sonra yeni oluşturulan hesapla oturum açıldığını aktarıyor. watchTowr ekiplerin tespiti kolaylaştırmak için özel bir araç da yayımladı. Araç rastgele oluşturulan kullanıcı adlarıyla deneme yaparak sistemlerin etkilenip etkilenmediğini gösteriyor. Rapid7 ekibi yaptığı kontrol sırasında 8.0.1 sürümü ile önceki sürümlerin tamamının hatadan etkilendiğini belirledi.
Fortinet güvenlik açığını 8.0.2 sürümünde gideriyor. Bu nedenle güncelleme yapılmamış cihazların risk altında olduğu belirtiliyor. Uzmanlar yönetim panelinde tanınmayan hesapların kontrol edilmesini öneriyor. Ayrıca sistem günlüklerinde fwbcgi yoluna yapılan isteklerin kontrol edilmesi isteniyor. Bu tür kayıtların tespiti saldırı girişimlerinin belirlenmesine yardımcı oluyor.
Siber güvenlik ekipleri yönetici arayüzünün doğrudan internete açılmasının saldırı ihtimalini artırdığını belirtiyor. Yönetim arayüzünün yalnızca güvenilen ağlar üzerinden erişilebilir tutulması gerektiği ifade ediliyor. VPN ile sınırlanan erişimin zararlı trafik ihtimalini azalttığı aktarılıyor. Uzmanlar ayrıca parola yapısının güçlendirilmesi gerektiğini, parolaların tekrar kullanılmaması gerektiğini, güncelleme kontrollerinin düzenli yapılması gerektiğini vurguluyor.
