ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Fortinet'in kötü amaçlı yazılım analiz ve tespit platformu FortiSandbox'ı hedef alan iki kritik güvenlik açığının aktif olarak istismar edildiğini duyurdu. CVE-2026-39808 ve CVE-2026-25089 kodlu bu açıkların her biri 9.1 CVSS puanına sahip ve saldırganlara sistemde komut çalıştırma imkanı veriyor. CISA, 16 Temmuz'da bu açıkları Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekleyerek federal kurumlara 19 Temmuz'a kadar yama uygulama zorunluluğu getirdi.
İlk açık olan CVE-2026-39808, KPMG İspanya güvenlik araştırmacısı Samuel de Lucas Maroto tarafından keşfedildi ve 14 Nisan'da Fortinet tarafından ifşa edildi. Bu güvenlik açığı, FortiSandbox'ın 4.4.0 ile 4.4.8 arasındaki sürümlerini etkileyen bir işletim sistemi komut enjeksiyonu zafiyeti. Başarılı bir istismar durumunda, saldırganın yetkisiz kod veya komut çalıştırmasına olanak tanıyor. Fortinet, bu açığı FortiSandbox 4.4.9 sürümünde yamaladı.
İkinci güvenlik açığı CVE-2026-25089 ise Fortinet ürün güvenlik ekibinden Adham El Karn tarafından tespit edildi ve 9 Haziran'da duyuruldu. Bu açık, FortiSandbox'ın 5.0.0-5.0.5, 4.4.0-4.4.8 ve tüm 4.2 sürümlerini; FortiSandbox Cloud 5.0.4-5.0.5 ve FortiSandbox PaaS 5.0.4-5.0.5 sürümlerini etkiliyor. Saldırgan, özel hazırlanmış HTTP istekleri göndererek kimlik doğrulaması olmadan yetkisiz komutlar çalıştırabiliyor. Fortinet, bu açık için 4.4.9 ve 5.0.6 sürümlerinde yama yayınladı.
CISA, federal kurumların Fortinet tarafından sağlanan düzeltmeleri ve yamaları uygulamasını zorunlu kıldı. Bulut tabanlı hizmetler için, eğer hafifletme önlemleri mevcut değilse, ajansların ürünü kullanmayı durdurması gerekiyor. CISA, bu güvenlik açıklarının fidye yazılımı kampanyalarında kullanılıp kullanılmadığını doğrulamadı ancak aktif istismarın varlığı, acil eylem gerektiriyor.
Önemli Gelişmeler
FortiSandbox, kuruluşların ağ trafiğini ve dosyaları analiz ederek tehditleri tespit etmesine yardımcı olan bir platformdur. Bu tür bir güvenlik ürünündeki açıklar, saldırganlara ağa sızmak için kritik bir fırsat sunar. Komut enjeksiyonu zafiyetleri, özellikle kimlik doğrulaması gerektirmeyen CVE-2026-25089 gibi durumlarda, uzaktan ve kolayca istismar edilebilir.
Teknik Analiz
Kuruluşların, etkilenen FortiSandbox sürümlerini kullanıyorlarsa derhal Fortinet'in resmi kanallarından güncellemeleri almaları ve yamaları uygulamaları önerilir. Ayrıca, ağ izleme ve saldırı tespit sistemlerinin güncel tutulması, bu tür açıkların istismarını erken tespit etmede yardımcı olabilir. CISA'nın zorunlu kıldığı sürenin kısa olması, tehdidin ciddiyetini ve aciliyetini göstermektedir.
Kaynak: infosecurity-magazine.com