Fortinet’in siber tehdit algılama platformu FortiSandbox’ı etkileyen birden fazla kritik güvenlik açığı, saldırganlar tarafından aktif olarak kullanılıyor. Defused tehdit istihbarat şirketinin Pazartesi günü yaptığı uyarıya göre, CVE-2026-39813, CVE-2026-39808 ve CVE-2026-25089 numaralı zafiyetler son 24 saat içinde saldırılarda tespit edildi. Fortinet, bu FortiSandbox komut enjeksiyonu açıklarını 14 Nisan’da yayınladığı güncellemelerle yamalamıştı ancak birçok sistemin henüz güncellenmemiş olması saldırganlara fırsat sunuyor.

FortiSandbox Komut Enjeksiyonu Açıkları Uzaktan Kod Yürütmeye İzin Veriyor

FortiSandbox komut enjeksiyonu açıkları, kimliği doğrulanmamış saldırganların düşük karmaşıklıktaki saldırılarla ayrıcalık yükseltmesi yapmasına ve uzaktan yetkisiz kod çalıştırmasına olanak tanıyor. Defused araştırmacıları, CVE-2026-25089 için henüz kamuya açık bir çalışan saldırı kodunun bulunmadığını ancak saldırganların bu açığı “vibecoded” (büyük dil modelleriyle üretilmiş) bir yöntemle kullanmaya çalıştığını belirtti. Fortinet FortiSandbox güvenlik açığı olarak bilinen bu zafiyetler, kullanıcı etkileşimi gerektirmiyor ve saldırganların sistemlere sızmasını kolaylaştırıyor.

Fortinet, Nisan ayında ayrıca orta şiddette bir yol geçişi güvenlik açığının (CVE-2025-61624) vahşi doğada kullanıldığını duyurmuştu. Bu zafiyet, kimliği doğrulanmış saldırganların ayrıcalık yükseltmesi yapmasına olanak tanıyor ancak başarılı bir saldırı için hedef sistemlerde yüksek ayrıcalıklar gerekiyor. Bu durum, söz konusu açığın büyük olasılıkla başka bir güvenlik sorunuyla zincirlenerek kullanıldığını gösteriyor. Defused tehdit uyarısı kapsamında değerlendirilen bu açıklar, özellikle kurumsal ağlarda ciddi riskler oluşturuyor.

Fortinet Ürünleri Fidye Yazılımı ve Casusluk Saldırılarında Hedef Oluyor

Fortinet ürünlerindeki güvenlik açıkları, fidye yazılımı çeteleri ve siber casusluk kampanyaları tarafından sıklıkla kullanılıyor. Saldırganlar, bu zafiyetleri genellikle daha önce bilinmeyen açıklar olarak kullanarak hedef ağlara sızıyor. Fortinet, geçtiğimiz aylarda FortiSandbox’ta uzaktan kod yürütmeye olanak tanıyan bir başka kritik güvenlik açığını (CVE-2026-26083) yamalamıştı. Fortinet fidye yazılımı hedefi olarak bilinen bu ürünler, saldırganların en çok tercih ettiği sistemler arasında yer alıyor.

👉️ İlginizi Çekebilir: Fortinet, FortiSandbox ve FortiAuthenticator’da Kritik Güvenlik Açıklarını Duyurdu

Şubat ayında Fortinet, FortiClient Enterprise Management Server platformunda kritik bir SQL enjeksiyon güvenlik açığını (CVE-2026-21643) düzeltmişti. Defused, bu zafiyetin bir ay sonra aktif olarak kullanıldığını tespit etti. CISA, 13 Nisan’da federal kurumlara FortiClient EMS sistemlerini üç gün içinde güncelleme zorunluluğu getirmişti. CISA Fortinet güvenlik açığı listesi kapsamında, ajans son yıllarda 26 Fortinet güvenlik açığını aktif saldırılarda kullanılanlar listesine ekledi. Bu açıklardan 13’ü fidye yazılımı çeteleri tarafından kullanıldı.