Fortinet, FortiOS işletim sistemini etkileyen ve aktif olarak sömürüldüğü tespit edilen kritik bir güvenlik açığı için acil güvenlik güncellemeleri yayınladı.
CVE-2026-24858 (CVSS puanı: 9.4) olarak takip edilen bu açık, FortiCloud Single Sign-On (SSO) ile ilgili bir kimlik doğrulama atlatma açığı olarak tanımlanıyor ve saldırganlara sistemlere yetkisiz erişim imkânı sunuyor.Bu kusur FortiManager ve FortiAnalyzer’ı da etkiliyor. Şirket, FortiWeb ve FortiSwitch Manager dahil olmak üzere diğer ürünlerin de bu kusurdan etkilenip etkilenmediğini araştırmaya devam ettiğini belirtti.
Fortinet, Salı günü yayımladığı uyarıda, FortiOS, FortiManager ve FortiAnalyzer üzerinde bulunan alternatif bir erişim yolunun kötüye kullanılması durumunda, FortiCloud hesabına ve kayıtlı bir cihaza sahip bir saldırganın, FortiCloud SSO authentication etkin olan farklı kullanıcılara ait cihazlara yetkisiz şekilde giriş yapabileceğini belirtti.
Şunu belirtmekte fayda var ki, FortiCloud SSO login özelliği, cihazların varsayılan fabrika ayarlarında kapalı olarak gelmektedir. Bu özellik yalnızca yöneticilerin cihaz arayüzü üzerinden FortiCare registration işlemi yapması durumunda otomatik olarak etkinleşmektedir; aksi takdirde “FortiCloud SSO kullanarak yönetici oturum açmasına izin ver” seçeneğini açıkça etkinleştirmesi gerekir.
Bu gelişme, Fortinet’in kimliği belirsiz tehdit aktörlerinin herhangi bir kimlik doğrulaması gerektirmeden SSO oturum açma işlemlerini gerçekleştirmek için “yeni bir saldırı yolu”nu kötüye kullandığını doğrulamasından birkaç gün sonra yaşandı. Bu erişim , kalıcı yerel yönetici hesapları oluşturmak, bu hesaplara VPN erişimi sağlayan yapılandırma değişiklikleri yapmak ve bu güvenlik duvarı yapılandırmalarını dışarı sızdırmak için kötüye kullanıldı.
Ağ güvenliği sağlayıcısı, geçtiğimiz hafta boyunca aşağıdaki adımları attığını açıkladı:
- 22 Ocak 2026 tarihinde iki kötü amaçlı FortiCloud hesabı (cloud-noc@mail.io ve cloud-init@mail.io) kilitlendi.
- FortiCloud tarafında FortiCloud SSO, 26 Ocak 2026 tarihinde devre dışı bırakıldı.
- 27 Ocak 2026’da FortiCloud SSO yeniden etkinleştirildi, ancak güvenlik açığı bulunan sürümleri çalıştıran cihazlardan oturum açma seçeneği devre dışı bırakıldı.
Başka bir deyişle, FortiCloud SSO kimlik doğrulamasının çalışması için müşterilerin yazılımın en son sürümlerine yükseltmeleri gerekmektedir. Fortinet ayrıca, güvenlik ihlali belirtileri tespit eden kullanıcıları cihazlarını ihlal edilmiş olarak değerlendirmeye çağırıyor ve aşağıdaki eylemleri öneriyor:
- Cihazın en son aygıt yazılımı sürümünü çalıştırdığından emin olun.
- Yapılandırmayı bilinen temiz bir sürümle geri yükleyin veya yetkisiz değişiklikler için denetim yapın.
- FortiGate cihazlarına bağlı olabilecek tüm LDAP/AD hesapları dahil olmak üzere kimlik bilgilerini değiştirin.
Bu gelişme, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) CVE-2026-24858’i Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklemesine ve Federal Sivil Yürütme Organı (FCEB) kurumlarının sorunları 30 Ocak 2026’ya kadar gidermesini zorunlu kılmasına yol açmıştır.
Güncelleme
28 Ocak 2026’da CISA, CVE-2026-24858 için ek kılavuz yayınlayarak, “FortiCloud tek oturum açma (SSO) özelliği cihazlarda etkinleştirilmişse, FortiCloud hesabına ve kayıtlı cihaza sahip kötü niyetli kişilerin FortiOS, FortiManager, FortiWeb, FortiProxy ve FortiAnalyzer’da diğer kullanıcılara kayıtlı ayrı cihazlara giriş yapmasına olanak sağladığını” belirtti.
FortiOS, FortiManager, FortiAnalyzer, FortiProxy ve FortiWeb müşterilerinin tümü bu durumdan etkilenmektedir ve FortiCloud SSO hizmetlerini geri yüklemek için en son sürüme yükseltmeleri gerekmektedir.
Fortinet, FortiSwitch Manager’ın güvenlik açığına maruz kalmasıyla ilgili soruşturmayı sürdürüyor. Şirket, sorunun yalnızca FortiCloud SSO’yu etkilediğini ve üçüncü taraf SAML IdP veya FortiAuthenticator uygulamalarını etkilemediğini doğruladı.
Ajans ayrıca kullanıcılara, “bu güvenlik açığından etkilenen internete erişilebilir tüm Fortinet ürünlerinde güvenlik ihlali belirtilerini kontrol etmelerini ve Fortinet’in talimatlarını kullanarak güncellemeler yayınlanır yayınlanmaz derhal uygulamalarını” tavsiye ediyor.
