CVE-2019-6693 · Bilgilendirme

Fortinet FortiOS Use of Hard-Coded Credentials Vulnerability

Fortinet FortiOS'ta hard-coded credentials zafiyeti, saldırganların hassas verileri ele geçirmesine yol açabilir.

Üretici
Fortinet
Ürün
FortiOS
Seviye
Orta
Yayın Tarihi
02 Nisan 2026
Okuma
8 dk okuma

CVE-2019-6693: Fortinet FortiOS Use of Hard-Coded Credentials Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2019-6693, Fortinet'in FortiOS'unun içinde yer alan ve kullanıma hazır hale getirilmiş kimlik bilgileri (hard-coded credentials) zafiyetidir. Bu zafiyet, saldırganların FortiOS yapılandırma yedek dosyaları içinde bulunan hassas verileri çözümlemesine (cipher) olanak tanıyabilir. FortiOS, güvenlik duvarları ve diğer ağ güvenlik ürünleri için yaygın olarak kullanılan bir işletim sistemidir. Bu zafiyet, 2019’un boyunca ortaya çıkarak kritik bir güvenlik sorunu haline gelmiştir.

Zafiyetin arka planına bakıldığında, Fortinet'in FortiOS'unun yazılım kodlarında yer alan sabit değerli şifre anahtarları dikkat çekmektedir. Bu anahtarlar, sistemin yapılandırma dosyalarının şifrelenmesinde kullanılırken, bu anahtarların kötü niyetli kişilerce bilinir hale gelmesi durumunda, saldırganlar bu dosyaların içindeki hassas bilgilere ulaşabilir. Bu durum, şirketlerin ağ güvenliği altyapısının bütünlüğünü tehdit etmektedir. Kullanıcı şifreleri, çeşitli yapılandırma ayarları ve diğer özel bilgiler bu yedek dosyalarında bulunabilir.

Dünya genelindeki etkilerine dair bir değerlendirme yaptığımızda, bu zafiyetin sağlık, finans ve kamu hizmetleri dahil birçok kritik sektörü etkileyebileceği ortaya çıkmaktadır. Örneğin, tıbbi cihazlara sahip hastanelerde, hasta verilerinin güvenliği son derece kritik bir öneme sahiptir. Bu tür senaryolar, zafiyetin doğrudan insan yaşamı üzerinde de olumsuz etkiler yaratabileceğini göstermektedir. Ayrıca, finans sektörü de bu zafiyetten etkilenerek, kullanıcı hesapları ve finansal verilerin korunmasını tehdit eden bir ortam içine girebilir.

CVE-2019-6693 zafiyeti, genellikle yanlış yapılandırılmış sistemlerden kaynaklanan en yaygın güvenlik açıkları arasında yer almaktadır. Siber güvenlik uzmanlarının, bu tür zafiyetlerin önüne geçebilmek için sistem yapılandırmalarını sürekli gözden geçirmeleri, güncel yazılımları kullanmaları ve yapılandırma yedeklerinin güvenliğini sağlamak için uygun önlemleri almaları kritiktir. Örneğin, yapılandırma dosyaları yalnızca güvenli bir ortamda saklanmalı ve erişimi kısıtlanmalıdır. Ayrıca, zafiyetin kendi varlığı nedeniyle, belirli bir süre içinde sistemlerin güncellenmesi ve bu tür hataların giderilmesi önemlidir.

Güvenlik açıkları sürekli olarak evrim geçirmekte ve yeni zafiyetlerin ortaya çıkmasıyla birlikte siber tehditlerin doğası da değişmektedir. Bu nedenle, yazılım geliştirme süreçlerinde şifreleme yöntemlerinde kullanılan anahtarların güvenli bir şekilde yönetilmesi ve sertifikaların güncellenmesi de oldukça önemlidir. Unutulmamalıdır ki, siber güvenlik sadece bir yazılımın veya donanımın güvenliğinden ibaret değil, aynı zamanda organizasyonel bir yaklaşımdır. Sibercinin bilinçli olması, bu tür zafiyetlere karşı koyabilmek için en etkili yöntemlerden biridir.

Sonuç olarak, CVE-2019-6693 gibi zafiyetler, bilişim teknolojileri dünyasındaki tehlikeleri gözler önüne sermektedir. Fortinet kullanıcılarının bu tür zafiyetleri minimize edebilmesi için farkındalık düzeyini artırması ve güvenlik önlemlerini sürekli geliştirmesi gerekmektedir.

Teknik Sömürü (Exploitation) ve PoC

Fortinet FortiOS üzerinde bulunan CVE-2019-6693 zafiyeti, siber güvenlik uzmanları ve white hat hacker'lar için oldukça önemli bir konudur. Bu zafiyet, hard-coded (sabit kodlanmış) kimlik bilgilerini kullanarak sistemin güvenliğini tehlikeye atabilmektedir. Aşağıda, bu zafiyetin sömürülmesi adımlarını inceleyeceğiz.

FortiOS’un zafiyetinden faydalanabilmek için öncelikle sistemin yapılandırma yedeğinde bulunan hassas verilere ulaşmamız gerekmektedir. Hard-coded (sabit kodlanmış) bir anahtarın varlığı, bu süreci kolaylaştırmaktadır. Asıl işleyiş, bu anahtarın bilinmesi durumunda yedek dosyasının şifrelerinin çözülmesi için gerekli olan basamaklardan oluşmaktadır.

İlk adım olarak, öncelikle hedef sistem hakkında bilgi toplamak gerekir. Bu aşamada, sistemin hangi sürümde bulunduğunu öğrenmek önemlidir; zira bu zafiyet yalnızca belirli sürümlerde mevcuttur. Hedef sistemdeki FortiOS sürümünü öğrenmek için aşağıdaki HTTP isteğini kullanabilirsiniz:

GET /login HTTP/1.1
Host: {hedef_ip}
User-Agent: Mozilla/5.0

İkinci adım, sistemin yapılandırma yedeğini elde etmektir. Eğer hedef sistemde otomatik yedekleme yapılmışsa veya erişim izinleri doğru ayarlanmışsa, yedek dosyasına erişim sağlamak mümkündür. Aşağıdaki örnek HTTP isteği ile yedekleme dosyasını indirmek için bir istek yapılabilir:

GET /api/v2/backup/config.zip HTTP/1.1
Host: {hedef_ip}
Authorization: Bearer {token}

Yedek dosyası indirildiğinde, zafiyetten dolayı bu dosya içinde yer alan şifreli verileri çözmek için gerekli olan sabit kodlanmış anahtar elde edilebilir. FortiOS'un kendine özgü bir anahtar kullanması, bu anahtar bilgisine sahip olduktan sonra yedek dosyasındaki verilerin kolay bir şekilde şifresinin çözülmesine olanak tanır.

Üçüncü adım, sabit anahtar bilgisi ile yedek dosyasındaki şifreli verilerin çözülmesidir. Burada, Python gibi bir programlama dili kullanarak bir PoC (Proof of Concept) yazabiliriz. Aşağıda, yedeğin içeriğini çözmek için kullanılabilecek basit bir Python snippeti verilmiştir:

from Crypto.Cipher import AES
import os

def decrypt_file(file_path, key):
    with open(file_path, 'rb') as f:
        encrypted_data = f.read()

    cipher = AES.new(key, AES.MODE_EAX)
    decrypted_data = cipher.decrypt(encrypted_data)

    with open('decrypted_config.cfg', 'wb') as f:
        f.write(decrypted_data)

hard_coded_key = b'sabit_kodlanmis_anahtar'  # Merak edilen anahtar
decrypt_file('config.zip', hard_coded_key)

Son olarak, yedek dosyasındaki verilerin çözülmesinin ardından, elde edilen hassas verilerin kötü niyetli şekilde kullanılmaması için hemen gerekli önlemlerin alınması gerektiğini unutmamak önemlidir. Kötü niyetli bir saldırgan, bu verilere erişim sağlaması durumunda sistem üzerinde kontrol elde edebilir ve çeşitli saldırılar gerçekleştirerek RCE (Remote Code Execution - Uzaktan Kod Çalıştırma), Buffer Overflow (Tampon Aşımı) veya Auth Bypass (Yetki Atlama) gibi zafiyetleri ortaya çıkarabilir.

Bu adımlar, CVE-2019-6693 zafiyetinin teknik sömürü süreçlerini ve potansiyel etkilerini ortaya koymaktadır. Siber güvenlik uzmanları, bu tür zafiyetleri tanıyarak ve önlem alarak sistemlerinin güvenliğini artırmalılar.

Forensics (Adli Bilişim) ve Log Analizi

Siber güvenlik alanında zafiyetler, özellikle kritik sistemler üzerinde ciddi tehditler oluşturabilir. Fortinet FortiOS üzerinde bulunan CVE-2019-6693 zafiyeti, kullanıcılara ait hassas verilerin kötü niyetli kişiler tarafından ele geçirilmesine olanak tanımaktadır. Bu zafiyet, sistem yöneticilerinin bilinçli bir şekilde kullanmadığı fakat yazılımın içinde yer alan hard-coded (hardcoded - sabit kod) kimlik bilgilerini kullanarak bir saldırganın sistemi manipüle etmesine olanak tanır. Bir siber güvenlik uzmanı olarak, bu tür zafiyetleri tespit etmenin yollarını anlamak önemlidir.

Öncelikle, CVE-2019-6693 zafiyeti sistemin yapılandırma yedek dosyalarında hassas verilerin şifrelenmesi için kullanılan bir anahtar ile ilgilidir. Saldırgan, bu anahtarı bildiği takdirde, yedek dosyalarında saklanan hassas verilere erişim sağlayabilir. Bu durum, hem sistemin bütünlüğünü hem de kullanıcı verilerinin gizliliğini tehdit eder. Dolayısıyla, bir güvenlik uzmanı olarak bu durumun izlenmesi için gerekli stratejileri ve teknikleri bilmek hayati önem taşımaktadır.

Saldırının tespiti için, SIEM (Security Information and Event Management - Güvenlik Bilgisi ve Olay Yönetimi) sisteminde farklı log kayıtlarını taramanız gerekecektir. İlk adım olarak, belirli imzaların ve rutinlerin izlenmesi gerekir. Örneğin, aşağıdaki log dosyaları üzerinden dikkatli bir analiz yapılması önerilir:

  1. Access Log (Erişim Logu): Sistem üzerinde olağan dışı erişim talepleri, özellikle bilinen kötü niyetli IP adreslerinden gelen istekler dikkatle incelenmelidir. 
   2023-10-11 15:23:45 [INFO] 192.168.1.100 - - [11/Oct/2023:15:23:45 +0300] "GET /api/backup" 200
  1. Error Log (Hata Logu): Sık sık hata veren ya da hatalı kimlik bilgileri ile yapılan giriş denemeleri, potansiyel bir saldırının habercisi olabilir. Bu tür durumlar aşağıdaki gibi bir kayıt ile ifade edilebilir:
   2023-10-11 15:25:01 [ERROR] Invalid credentials for user admin from 192.168.1.105
  1. Configuration Change Log (Yapılandırma Değişikliği Logu): Yapılandırma dosyalarında ani değişiklikler, özellikle bir kullanıcı veya sistem yöneticisi tarafından yapılmadıysa, dikkate alınmalıdır. 
   2023-10-11 15:30:12 [WARNING] Configuration file modified by user guest

Saldırganların genellikle bir güvenlik duvarını aşmak (Auth Bypass - Yetkilendirme Atlatma) veya sistemde uzaktan kod çalıştırma (RCE - Remote Code Execution - Uzaktan Kod Çalıştırma) girişimlerinde bulunabileceği unutulmamalıdır. Bu tür aktiviteler, log dosyalarında belirgin bir şekilde kaydedilir ve zamanla sistemde büyük riskler oluşturabilir.

Log analizi sırasında kullanılması gereken bazı belirgin imzalar:

  • Sisteme giriş denemelerinde olağan dışı artış.
  • Şifre hatalarının çoğalması.
  • Bilinmeyen bir kullanıcı veya cihaz üzerinden anahtar içeriklerine erişim talepleri.

Sistem yöneticileri bu tür durumları analiz ederken, yalnızca logları incelemekle kalmayıp aynı zamanda diğer koruma mekanizmalarını da gözden geçirmelidir. Özellikle, güncellemelerin yapılması, güvenlik yamalarının uygulanması ve hard-coded kimlik bilgilerini ortadan kaldırmak için gerekli önlemlerin alınması gerekmektedir.

Sonuç olarak, CVE-2019-6693 zafiyeti gibi durumlar, dikkatli bir vigilance (dikkatli izleme) gerektirir. Siber güvenlik uzmanları, çeşitli kaynaklardan gelen logları etkin bir şekilde analiz ederek bu tür tehditleri zamanında tespit edebilir ve yanıt verebilirler. Bu, hem sistemin sağlığını korumak hem de kullanıcı verilerinin güvenliğini sağlamak için kritik bir stratejidir.

Savunma ve Sıkılaştırma (Hardening)

Fortinet FortiOS’ta bulunan CVE-2019-6693 zafiyeti, sertifikalı bir siber güvenlik uzmanı olarak dikkat edilmesi gereken önemli bir güvenlik açığıdır. Bu zafiyetin temel sebebi, Fortinet FortiOS'un hard-coded (hard-coded, yani sert koda gömülü) kimlik bilgileri kullanmasıdır. Bu durum, saldırganların FortiOS yapılandırma yedek dosyasında hassas verileri şifreleme isteğini sağlamaktadır.

Gerçek dünya senaryoları düşündüğümüzde, bir saldırganın bu açığı kullanarak erişim sağlaması, güvenlik ihlalleri ve veri kaybı riskini artırabilir. Örneğin, bir saldırgan, güvenlik duvarı veya VPN yapılandırmalarını ele geçirerek ağa sızabilir veya şirket politikalarını ihlal edebilir. Bir başka senaryoda ise, kötü niyetli bir kullanıcı bu açığı kullanarak kurumsal verilerin şifreli yedek kopyalarına erişim sağlayabilir. Dolayısıyla, bu tür bir zafiyetin önlenmesi büyük önem taşımaktadır.

Zafiyetin kapatılması için atılacak ilk adım, Fortinet tarafından önerilen güncellemelerin uygulanmasıdır. Güvenlik güncellemeleri, yazılımın güvenliğini artırmak için kritik rol oynamaktadır. Bunun dışında, aşağıdaki adımların uygulanması, sistemlerinizi korumada etkili olacaktır:

  1. Güvenli Kimlik Bilgileri Kullanımı: Hard-coded kimlik bilgileri kullanımı yerine, sisteminize güvenli ve dinamik kimlik doğrulama yöntemleri entegre ediniz. Örneğin, OAuth2 veya LDAP (Lightweight Directory Access Protocol) gibi standart kimlik doğrulama yöntemleri uygulamak, sisteminizin güvenliğini artıracaktır.

  2. Yedekleme Güvenliği: Yedekleme dosyalarını korumak için ek önlemler alın. Yedek dosyalarını şifreleyerek ve erişim kontrolleri ekleyerek, bu dosyaların kötü amaçlı kullanıcılar tarafından ele geçirilme riskini minimuma indirebilirsiniz.

  3. Güvenlik Duvarı (WAF) Kuralları: Web uygulama güvenlik duvarı (WAF) kuralları oluşturmak, potansiyel tehditleri tanımaya ve engellemeye yardımcı olur. Örneğin, belirli IP adreslerine veya belirli zaman dilimlerine göre erişim kontrolleri eklemek, sadece yetkili kullanıcıların sisteminize erişmesini sağlar. Aşağıda örnek bir WAF kuralı verilmiştir:

    {
    "Rule": {
        "ID": "1",
        "Description": "Kötü niyetli IP adreslerini engelle.",
        "Condition": {
            "operator": "not",
            "ip": "192.168.0.0/24"
        },
        "Action": "block"
    }
}

  4. Düzenli Güvenlik Tarama ve Denetim: Güvenlik sistemlerinizi düzenli olarak taramak ve güvenlik açıklarınızı belirlemek, sistemlerinizin sürekli güvenliğini sağlamada önemli bir adımdır. Otomatik tarayıcılar kullanarak RCE (Remote Code Execution - Uzaktan Kod Çalıştırma) ve Buffer Overflow gibi tehlikeli açıkları kontrol edebilirsiniz.

  5. Sıkılaştırma (Hardening) Uygulamaları: Sistemlerinizi mümkün olan en güvenli hale getirmek için, gereksiz servisleri devre dışı bırakmalı ve minimum izinler ilkesini uygulamalısınız. Gereksiz port ve uygulamaları kapatmak, saldırı yüzeyinizi azaltır. Ayrıca, güçlü şifre politikaları ve iki faktörlü kimlik doğrulama (MFA) gibi ek güvenlik katmanlarını entegre etmelisiniz.

Sonuç olarak, CVE-2019-6693 gibi zafiyetler, siber güvenlik uygulamalarını gözden geçirirken dikkate almanız gereken önemli unsurlardır. Güvenlik açıklarınızı kapatmak için yukarıda belirtilen adımları atmak, sistemlerinizin güvenliğini artırmanıza yardımcı olacaktır. Zafiyetlerin kapatılması ve devamında gelen güvenlik önlemleri, sadece sizin değil, aynı zamanda organizasyonunuzun da siber tehditlere karşı dayanıklı olmasını sağlar.