Özet
Kritik pre-authentication remote code execution zafiyeti FortiOS SSL-VPN modülünde. Saldırgan kimlik doğrulaması yapmadan, sadece SSL-VPN portuna (default TCP 10443) özel hazırlanmış bir HTTP request göndererek cihaz üzerinde root yetkisinde komut çalıştırabiliyor.
CVSS skoru: 9.6 / 10 (Kritik) Aktif istismar: Şubat 2024’ten beri. Çin kaynaklı APT grupları tarafından kullanıldığı bildirildi (Volt Typhoon). Durum (2026 Nisan): Resmi olarak yamayla çözüldü. Yamalanmamış cihazlar hâlâ savunmasız.
Etki
FortiGate’ler büyük kurumlar tarafından perimeter firewall olarak kullanıldığından, başarılı istismar:
- Kurumsal ağa tam erişim
- Lateral movement için Cobalt Strike gibi beacon deploy
- Ransomware ön aşaması
- Veri sızdırma (data exfiltration)
Türkiye’de Mart-Mayıs 2024 döneminde en az 40 kuruma ait FortiGate’in şodan aramasında savunmasız göründüğü raporlandı.
Etkilenen Sürümler
| Ana sürüm | Etkilenen | Düzeltildi |
|---|---|---|
| 7.4 | 7.4.0 - 7.4.2 | 7.4.3 |
| 7.2 | 7.2.0 - 7.2.6 | 7.2.7 |
| 7.0 | 7.0.0 - 7.0.13 | 7.0.14 |
| 6.4 | 6.4.0 - 6.4.14 | 6.4.15 |
| 6.2 | 6.2.0 - 6.2.15 | 6.2.16 |
| 6.0 | 6.0.0 - 6.0.17 | 6.0.18 |
Not: FortiOS 6.0 serisi EOL (End of Life). Upgrade zorunluluğu var.
Tespit — Etkilenen miyim?
1. Versiyon kontrolü
CLI:
get system status | grep VersionÇıktı örneği:
Version: FortiGate-100F v7.2.5 build1517Bu versiyon etkilenen listedeyse ve SSL-VPN aktifse — risk var.
2. SSL-VPN aktif mi?
config vpn ssl settings
show
endset status enable görünüyorsa SSL-VPN çalışıyor.
3. Istismar izleri
FortiGate log’unda:
execute log display category event-filter subtype ssl-vpnAnormal pattern’lar:
- Başarısız auth’lardan sonra başarılı connection (stranger IP)
- SSL-VPN portuna yoğun trafik
- Beklenmedik
adminhesap oluşturma
Daha derin: SIEM’de vd=root sub_type=ssl-vpn event’lerini incele.
Geçici Çözüm (Patch Uygulanana Kadar)
Seçenek A: SSL-VPN Tamamen Disable Et
En güvenli:
config vpn ssl settings
set status disable
endİç kullanıcılar için alternative: IPsec VPN veya ZTNA (FortiClient EMS) — bu modüller etkilenmiyor.
Seçenek B: SSL-VPN Erişimini Kısıtla
Eğer SSL-VPN tamamen kapatılamıyorsa:
# SSL-VPN portuna erişebilecek IP'leri kısıtla
config firewall address
edit "Trusted_Remote_IPs"
set subnet 203.0.113.0 255.255.255.0
next
end
config firewall local-in-policy
edit 1
set intf wan1
set srcaddr "Trusted_Remote_IPs"
set dstaddr "all"
set action accept
set service "HTTPS" "HTTP"
next
edit 2
set intf wan1
set srcaddr "all"
set dstaddr "all"
set action deny
set service "HTTPS" "HTTP"
next
endBu, sadece bilinen IP’lerden SSL-VPN portuna bağlantıya izin verir.
Kalıcı Çözüm — Yama Uygulama
Adım 1: Yedekleme
execute backup config tftp backup-pre-patch.conf [TFTP_IP]Adım 2: Firmware Upgrade
GUI: System > Firmware & Registration > Upload Firmware > En son stable sürüm
CLI:
execute restore image ftp [firmware_file] [ftp_ip] [user] [password]Adım 3: Reboot (otomatik)
Firmware yüklemesi cihazı reboot eder. ~5-10 dakika kesinti.
Adım 4: Doğrulama
get system statusYeni versiyon onaylandıktan sonra SSL-VPN test edin (kurucusu kullanıcı).
Adım 5: Post-patch Güvenlik
Yama uygulanmadan önce cihaz istismar edilmiş olabilir. Paranoyak kontrol:
# Tüm admin hesaplarını listele
show system admin
# SSH/RDP forward kurallarını kontrol
show firewall policyTanımadığın admin hesabı veya şüpheli policy varsa → cihaz compromise olmuş olabilir, incident response başlat.
HA (High Availability) Cluster Upgrade
Cluster varsa:
diagnose sys ha statusUpgrade sırası:
- Passive node’a önce yama
- Passive → active’e yükselt (manual failover)
- Yeni passive’e yama
- Doğrulama
Bu şekilde sıfır kesinti mümkün.
Etki Seviyesi
- Acil mi? EVET. 2024 Şubat’tan beri aktif istismar.
- Hâlâ yamalanmadıysa? Cihaz compromise olmuş kabul edilmeli. Memory forensics ve config audit şart.
- SSL-VPN kullanmıyorsam? Disable olsa bile config’te “aktif” olabilir. Yine de upgrade önerilir (başka gizli CVE’ler olabilir).
Post-Mortem — Ne Öğrendik?
Bu zafiyet Türk kuruluşlarına önemli 3 ders verdi:
- SSL-VPN internet’e açık brute force’a ve RCE’ye maruz. Alternatif: ZTNA (Zero Trust Network Access) veya IPsec-only.
- FortiGate yamaları gecikmiş: Araştırmacıya göre zafiyet Aralık 2023’te keşfedildi, yama Şubat 2024’te. Bu arada saldırganlar biliyordu.
- N-day patching disiplini: Kritik CVE’ler için 48 saat içinde yama politika olmalı. Bizim müşterilerimizde standart.
İlgili Kaynaklar
- Fortinet PSIRT FG-IR-24-015
- CISA KEV Catalog (Known Exploited Vulnerabilities)
- Volt Typhoon APT raporu — Microsoft Threat Intelligence
FortiGate yönetiminde hızlı patch döngüsü ve 24/7 monitoring hizmeti alıyor musunuz? Kozyatağı Bilişim managed firewall hizmetleri ile kritik CVE’lere 48 saat içinde yama garantisi. Teknik görüşme talep edin.