- CVE-2025-64446, kimliği doğrulanmamış saldırganların FortiWeb WAF sistemlerinde yönetici komutları çalıştırmasına olanak tanır
- Vahşi doğada aktif olarak sömürülen; 8.0.2’de yamalanan 7.0.0–8.0.1 sürümlerini etkiler
- CISA bunu KEV’e ekledi; Fortinet, internete yönelik HTTP/HTTPS arayüzlerine derhal yama uygulanmasını veya devre dışı bırakılmasını öneriyor
Fortinet, FortiWeb web uygulaması güvenlik duvarındaki (WAF) kritik bir güvenlik açığına yönelik bir düzeltme yayınladı ve kusurun aktif olarak istismar edilmesi nedeniyle müşterilerini derhal güncelleme yapmaya çağırdı.
Şirket, kimliği doğrulanmamış tehdit aktörlerinin sistem üzerinde idari komutlar yürütmesine olanak tanıyan göreceli bir yol geçiş güvenlik açığını giderdiğini belirten yeni bir güvenlik tavsiyesi yayınladı.
Hata şu anda CVE-2025-64446 olarak izleniyor ve 9,8/10 ciddiyet puanına sahip, bu da hatanın kritik olduğu ve derhal ele alınması gerektiği anlamına geliyor.
Sıfır günün kötüye kullanılması
Hata, WAF’ın birden çok sürümünü etkiliyor:
8.0.0’dan 8.0.1’e kadar,
7.6.0’dan 7.6.4’e kadar,
7.4.0’dan 7.4.9’a kadar,
7.2.0’dan 7.2.11’e kadar,
7.0.0’dan 7.0.11’e
Güvenlik araştırmacıları bu sorunun 8.0.2 sürümünde düzeltildiğini doğruladı.
Düzeltmenin tereddüt etmeden uygulanması gerektiğini belirten Fortinet, hatanın “doğal ortamda istismar edildiği gözlemlendiğini” belirtti.
Gerçekten de öyle, çünkü birçok güvenlik birimi haftalardır bu konuda uyarıda bulunuyor. Ekim 2025’in başlarında, Defused’ın güvenlik araştırmacıları “bilinmeyen bir Fortinet istismarı” için bir Kavram Kanıtı (PoC) yayınladı ve ardından watchTowr Labs tarafından yayınlanan bir demo istismarı yayınlandı.
Fortinet, düzeltmeyi hemen uygulayamayanların internete bakan arayüzler için HTTP veya HTTPS’yi devre dışı bırakması gerektiğini önerdi. “HTTP/HTTPS Yönetim arayüzüne yalnızca en iyi uygulama uyarınca dahili olarak erişilebilirse risk önemli ölçüde azalır.” Ayrıca, düzeltme eki uygulandıktan sonra kullanıcılar, yapılandırmalarını gözden geçirmeli, beklenmedik değişiklikler için günlükleri gözden geçirmeli ve yeni yönetici hesaplarının eklenip eklenmediğini kontrol etmelidir.
Hata aynı zamanda CISA’nın Bilinen İstismara Uğrayan Güvenlik Açıkları (KEV) kataloğuna da eklendi; bu, federal kurumların Fortinet’in WAF’ına yama yapmak veya kullanmayı durdurmak için 21 Kasım’a kadar sürelerinin olduğu anlamına geliyor.
CISA, “Bu tür bir güvenlik açığı, kötü niyetli siber aktörler için sık sık yapılan bir saldırı vektörüdür ve federal kuruluş için önemli riskler oluşturur.” uyarısında bulundu.
Aracılığıyla BleepingBilgisayar
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin Video biçimindeki haberler, incelemeler ve kutu açma işlemleri için bizden düzenli güncellemeler alın WhatsApp fazla.