FortiBleed Nedir?
Hudson Rock'ın Haziran 2026'da yayımladığı FortiBleed istihbarat raporu, dünya genelinde 73.932 Fortinet firewall ve VPN cihazının 194 ülkede ele geçirildiğini ortaya koyuyor. Tehdit seviyesi Kritik olarak değerlendirilmiş; 21.387 kurum etkilenmiş durumda.
FortiBleed, tek bir CVE'ye dayalı klasik bir güvenlik açığı değildir. Asıl tehdit vektörü infostealer (bilgi hırsızı) yazılımlardır. Saldırı zinciri şu şekilde işler:
- Çalışanın kişisel veya kurumsal bilgisayarına infostealer bulaşır (RedLine, Lumma, Raccoon vb.)
- Tarayıcıda kayıtlı şifreler, oturum çerezleri ve otomatik doldurma verileri çalınır
- Eğer bu bilgisayardan daha önce FortiGate yönetim paneline veya SSL-VPN portalına girilmişse, o kimlik bilgileri de sızar
- Saldırganlar bu verileri darkweb pazarlarından satın alarak doğrudan firewall yönetimine giriş yapar
Sonuç: Fortinet ürünlerinin kendisinde kritik bir 0-day olmak zorunda değil. Yönetim arayüzüne giriş yapan her çalışanın bilgisayarı potansiyel bir sızıntı noktasıdır.
Saldırı Ne Kadar Ciddi?
Firewall yönetimine yetkisiz erişim sağlayan bir saldırgan şunları yapabilir:
- Tüm güvenlik politikalarını değiştirme veya devre dışı bırakma
- VPN kullanıcısı ekleyerek kalıcı arka kapı oluşturma
- Ağ trafiğini kendi sunucularına yönlendirme (traffic mirroring)
- IPS/Antivirus imzalarını devre dışı bırakarak iç ağa sızmayı kolaylaştırma
- Tüm logları silme
- SSL-VPN üzerinden iç ağa tam erişim kazanma
Kısacası: firewall ele geçirildiğinde ağ güvenliği sıfırlanır.
Hemen Yapılması Gerekenler
1. Yönetici Hesaplarını Denetle
FortiGate CLI veya GUI üzerinden mevcut admin hesaplarını listeleyin. Tanımadığınız, açıklaması olmayan veya son giriş tarihi belirsiz olan tüm hesaplar şüpheli kabul edilmelidir.
# CLI
get system admin
# Son girişler
diagnose sys session list | grep 4432. Tüm Parolaları Değiştirin
Sadece admin şifresi değil; SNMP community string, API token, SSL-VPN kullanıcı şifrelerinin tamamı değiştirilmeli. Parola değişimi yapılmadan önce aktif oturumları sonlandırın:
diagnose sys session clear3. VPN Kullanıcılarını Gözden Geçirin
SSL-VPN veya IPsec kullanıcı listesini inceleyin. Kurumda çalışmayan, ayrılmış veya bilinmeyen kullanıcı hesapları varsa derhal silin. Aktif VPN tünellerini kontrol edin:
get vpn ssl monitor
get vpn ipsec tunnel summary4. Yönetim Erişimini İnternete Kapatın
Firewall yönetim arayüzü (HTTPS/SSH) hiçbir zaman doğrudan internete açık olmamalıdır. Trusted Host kısıtlaması ekleyin — admin hesaplarına yalnızca belirli IP'lerden erişim izni verin:
config system admin
edit admin
set trusthost1 x.x.x.x 255.255.255.255
next
end5. Log Analizini Yapın
Son 30 günlük yönetim girişlerini inceleyin. Farklı konumlardan, mesai dışı saatlerde veya bilinmeyen IP'lerden yapılan girişler ciddi uyarı işaretidir:
execute log filter category 1
execute log displayFortiAnalyzer kullanıyorsanız Compromised Hosts ve Admin Login raporlarını inceleyin.
6. Firmware Güncellemesi
Fortinet'in PSIRT sayfasından (fortinet.com/psirt) mevcut FortiOS versiyonunuzun bilinen aktif açıklarını kontrol edin. Güncel FortiOS sürümüne geçiş planlanmalıdır. Güncelleme öncesi config yedeği alın:
execute backup config ftp [ip] [path] [user] [pass]Kalıcı Güvenlik Önlemleri
İki Faktörlü Doğrulama (2FA)
FortiGate yönetim girişi için FortiToken veya TOTP entegrasyonu zorunlu hale getirilmelidir. Şifre çalınsa dahi ikinci faktör olmadan giriş yapılamaz. Bu önlem infostealer saldırılarını büyük ölçüde etkisiz kılar:
config system admin
edit admin
set two-factor fortitoken
set fortitoken [TOKEN_SERIAL]
next
endManagement VLAN Ayrımı
Yönetim trafiği ayrı bir VLAN üzerinden yönetilmeli; bu VLAN'a yalnızca yönetici iş istasyonlarından erişim sağlanmalıdır. Out-of-band management (OOB) ideali olmakla birlikte VLAN izolasyonu minimum standart olarak uygulanmalıdır.
FortiManager ile Merkezi Yönetim
Birden fazla cihaz yönetiyorsanız yönetim trafiği FortiManager üzerinden yürütülmeli, cihazların doğrudan GUI/SSH erişimi kapatılmalıdır. Bu şekilde saldırı yüzeyi tek noktaya indirilir ve tüm değişiklikler denetim altında tutulur.
Çalışan Uç Nokta Güvenliği
FortiBleed saldırılarının temel vektörü çalışan bilgisayarlarıdır. Yönetim işlemleri yalnızca:
- EDR/XDR çözümü yüklü kurumsal cihazlardan
- FortiClient EMS tarafından yönetilen endpoint'lerden
- Tercihen ayrılmış bir jump server/bastion host üzerinden
yapılmalıdır. Kişisel bilgisayardan yönetim paneline girmek kesinlikle önlenmelidir.
Düzenli Erişim Denetimi
Admin hesapları, VPN kullanıcıları ve API token'ları aylık bazda gözden geçirilmeli; kullanılmayan hesaplar silinmeli ve şifreler 90 günde bir rotasyona tabi tutulmalıdır.
Özet: Kontrol Listesi
| Adım | Öncelik | Süre |
|---|---|---|
| Yönetici hesaplarını listele ve bilinmeyenleri sil | 🔴 Acil | 15 dk |
| Tüm admin/VPN parolalarını değiştir | 🔴 Acil | 30 dk |
| Aktif VPN oturumlarını kontrol et | 🔴 Acil | 15 dk |
| Son 30 gün login loglarını incele | 🟠 Yüksek | 1 saat |
| Yönetim arayüzünü internetten kapat / Trusted Host ekle | 🟠 Yüksek | 30 dk |
| 2FA zorunlu kıl | 🟠 Yüksek | 1 saat |
| Firmware güncel mi kontrol et | 🟡 Orta | 30 dk |
| Endpoint güvenlik politikasını gözden geçir | 🟡 Orta | Planlı |
FortiBleed, yalnızca bir güvenlik açığının değil; operasyonel güvenlik (OpSec) zafiyetlerinin nasıl büyük çaplı bir tehlikeye dönüşebileceğinin somut bir kanıtıdır. Kimlik bilgisi hijyeni, endpoint koruması ve yönetim erişim kontrolü bir arada uygulanmadan sadece firewall güncellemesi yeterli olmayacaktır.