Fortinet, FortiVoice Sistemlerini Hedef Alan Kritik Açığı Kapatmak için Güncelleme Yayınladı
Siber güvenlik şirketi Fortinet, FortiVoice kurumsal telefon sistemlerini hedef alan saldırılarda sıfır gün olarak kullanılan kritik bir güvenlik açığını kapattığını duyurdu. Şirket, bu açığın kötü niyetli kişiler tarafından uzaktan kod çalıştırmak amacıyla kullanıldığını açıkladı.
Güvenlik Açığı FortiMail ve FortiCamera Gibi Sistemleri de Etkiliyor
Fortinet, yayımladığı güvenlik danışma metninde, CVE-2025-32756 koduyla takip edilen güvenlik açığının bir yığın tabanlı taşma (stack-based overflow) zafiyeti olduğunu belirtti. Bu açık, yalnızca FortiVoice sistemlerini değil, FortiMail, FortiNDR, FortiRecorder ve FortiCamera gibi diğer ürünleri de etkiliyor. Şirketin açıklamasına göre, saldırganlar özel olarak hazırlanmış HTTP istekleriyle sisteme uzaktan, kimlik doğrulaması olmadan sızabiliyor. Bu sayede komut çalıştırabiliyor veya zararlı yazılımlar yükleyebiliyor.
Fortinet’in Ürün Güvenliği Ekibi, bu güvenlik açığını doğrudan saldırı faaliyetlerinden yola çıkarak keşfetti. Saldırganların, sistemdeki izleri silmek için çökme günlüklerini sildiği ve SSH oturumlarında kimlik bilgilerini kaydetmek için “fcgi debugging” özelliğini aktif ettiği tespit edildi.
Şirketin paylaştığı bilgilere göre, saldırılar birkaç farklı IP adresinden gerçekleştirildi. Bu adresler arasında 198.105.127[.]124, 43.228.217[.]173 ve 218.187.69[.]244 gibi adresler yer alıyor. Ayrıca saldırganlar, etkilenen cihazlara zararlı yazılım yüklemiş ve sistemde otomatik olarak çalışan betikler (cron jobs) ekleyerek ağ üzerinde yeni hedefler aramış.
Fortinet, bu tür saldırıları tespit etmek isteyen kullanıcıların “diag debug application fcgi” komutunu çalıştırarak sistemde “general to-file ENABLED” çıktısını görüp görmediğini kontrol etmesini öneriyor. Bu satırın aktif olması, söz konusu özelliğin açık olduğunu gösteriyor. Fortinet, güvenlik güncellemelerini hemen yükleyemeyen kullanıcılar için geçici bir önlem de sundu. Buna göre, savunmasız cihazlarda HTTP ve HTTPS yönetim arayüzlerinin devre dışı bırakılması gerekiyor.
Geçtiğimiz ay, Shadowserver Foundation adlı kuruluş, daha önce istismar edilen 16.000’den fazla Fortinet cihazında tehlikeli bir sembolik bağlantı (symlink) arka kapısı tespit etmişti. Bu arka kapı, saldırganlara sistem dosyalarına salt okunur erişim sağlıyordu. Nisan ayında da Fortinet, FortiSwitch ürünlerinde yer alan ve yönetici şifrelerini uzaktan değiştirmeye olanak tanıyan başka bir kritik açık hakkında kullanıcılarını uyarmıştı.
