Siber güvenlik şirketi Arctic Wolf, Fortinet FortiGate cihazlarında yetkisiz güvenlik duvarı yapılandırma değişikliklerini içeren "yeni bir otomatik kötü amaçlı faaliyet kümesi" konusunda uyarıda bulundu.

Açıklamada, söz konusu faaliyetin 15 Ocak 2026'da başladığı ve Aralık 2025'te FortiGate cihazlarında farklı hosting sağlayıcılarından gelen yönetici hesaplarına karşı CVE-2025-59718 ve CVE-2025-59719 güvenlik açıklarından yararlanılarak gerçekleştirilen kötü amaçlı SSO oturum açma işlemlerinin kaydedildiği bir kampanyayla benzerlikler taşıdığı belirtildi.

Her iki güvenlik açığı da, etkilenen cihazlarda FortiCloud tekli oturum açma (SSO) özelliği etkinleştirildiğinde, özel olarak hazırlanmış SAML mesajları aracılığıyla SSO oturum açma kimlik doğrulamasının kimlik doğrulaması yapılmadan atlanmasına olanak tanır. Bu eksiklikler FortiOS, FortiWeb, FortiProxy ve FortiSwitchManager'ı etkiler.

Arctic Wolf, gelişmekte olan tehdit kümesiyle ilgili olarak, "Bu faaliyet, kalıcı olması amaçlanan genel hesapların oluşturulmasını, bu hesaplara VPN erişimi sağlayan yapılandırma değişikliklerini ve güvenlik duvarı yapılandırmalarının sızdırılmasını içeriyordu" dedi.

Özellikle, bu işlem, "Bu e-Posta adresi istenmeyen posta engelleyicileri tarafından korunuyor. Görüntülemek için JavaScript etkinleştirilmelidir." adlı kötü amaçlı bir hesaba karşı dört farklı IP adresinden kötü amaçlı SSO oturum açma işlemleri gerçekleştirmeyi ve ardından güvenlik duvarı yapılandırma dosyalarını GUI arayüzü aracılığıyla aynı IP adreslerine aktarmayı içerir. Kaynak IP adreslerinin listesi aşağıdadır:

104.28.244[.]115
104.28.212[.]114
217.119.139[.]50
37.1.209[.]19

Ayrıca, tehdit aktörlerinin kalıcılık sağlamak amacıyla "secadmin," "itadmin," "support," "backup," "remoteadmin" ve "audit" gibi ikincil hesaplar oluşturdukları gözlemlenmiştir.

Arctic Wolf ayrıca, "Yukarıda belirtilen olayların tamamı saniyeler içinde gerçekleşti ve bu da otomatik faaliyet olasılığını gösteriyor" diye ekledi.

Bu açıklama, Reddit'te birden fazla kullanıcının tamamen yamalanmış FortiOS cihazlarında kötü amaçlı SSO oturum açma işlemlerine rastladığını bildirdiği bir gönderiyle aynı zamana denk geliyor; bir kullanıcı ise "Fortinet geliştirici ekibi, güvenlik açığının devam ettiğini veya 7.4.10 sürümünde düzeltilmediğini doğruladı" şeklinde bir ifade kullandı.

Hacker News, konuyla ilgili yorum almak için Fortinet ile iletişime geçti ve yanıt aldığımızda haberi güncelleyeceğiz. Bu arada, "admin-forticloud-sso-login" ayarını devre dışı bırakmanız önerilir.

Kaynak : https://thehackernews.com/2026/01/automated-fortigate-attacks-exploit.html

Çin'den devlet destekli tehdit aktörleri, Eylül 2025 ortalarında "son derece gelişmiş bir casusluk kampanyası"nın parçası olarak, Anthropic tarafından geliştirilen yapay zeka

Sorun: Geride Kalan Kimlikler#
Organizasyonlar büyüyüp geliştikçe, çalışanlar, yükleniciler, hizmetler ve sistemler gelir ve gider;

SEO (Search Engine Optimization), yani Arama Motoru Optimizasyonu, web sitelerinin arama motorlarında daha üst sıralarda yer almasını sağlamak için yapılan çalışmaların

Siber güvenlik araştırmacıları, Brezilya'yı hedef alan saldırılarda Astaroth adlı bir Windows bankacılık truva atının dağıtım vektörü olarak WhatsApp'ı

Bu gece yayınlanan Crowdstrike güncellemesi tüm bilgisayar sistemlerini çökmesine neden oldu. Tüm dünyaya yayılmış ve yayılmaya devam eden sorunun kaynağı Crowdstrike update i olarak görünüyor.

Kimlik avı saldırıları gerçekleştiren tehdit aktörleri, kuruluşların alan adlarını taklit etmek ve sanki kurum içinden gönderilmiş gibi görünen e-postalar dağıtmak için

Uyap Kâtibim; Avukatların Elektronik İmza ile UYAP Avukat Portalına bağlanarak, icra takipleri için gerekli işlemleri tek-tek veya toplu olarak yapabileceği, bağımsız olarak çalışabilen, SHA YAZILIM tarafından üretilmiş bir UYAP iletişim yazılımıdır.