Fortinet FortiSandbox’ta Üçlü Tehlike: 9.1 Puanlı Açıklar Aktif Saldırıda, Bir İstismar Kodu ‘Vibecoded’ Çıktı

CVE-2026-39808: İşletim Sistemi Komut Enjeksiyonu

• Açık Türü: İşletim Sistemi Komut Enjeksiyonu
• Saldırı Yöntemi: Kimliği doğrulanmamış bir saldırgan, özel olarak hazırlanmış HTTP istekleri göndererek yetkisiz kod veya komutlar çalıştırabilir .
• Etkilenen Ürünler: FortiSandbox 4.4.0 ile 4.4.8 arası sürümler; yamalar daha önceki Fortinet güvenlik duyurularında ele alınmıştı .

CVE-2026-25089: Web Arayüzünde İşletim Sistemi Komut Enjeksiyonu

• Açık Türü: İşletim Sistemi Komut Enjeksiyonu (CWE-78)
• Saldırı Yöntemi: Güvenlik açığı, Web arayüzündeki "VNC başlat" özelliğinde bulunuyor ve bu özellik, temizlenmemiş JSON girdilerini doğrudan işletim sistemine aktarıyor. Kimliği doğrulanmamış uzak bir saldırgan, özel olarak hazırlanmış HTTP istekleriyle rastgele komutlar yürütebilir .
• Etkilenen Sürümler:
  • FortiSandbox 5.0.0 – 5.0.5
  • FortiSandbox 4.4.0 – 4.4.8
  • FortiSandbox 4.2 (tüm sürümler)
  • FortiSandbox Cloud 5.0.4 – 5.0.5
  • FortiSandbox PaaS 5.0.4 – 5.0.5
• Yama: Fortinet, 9 Haziran 2026'da bir güvenlik duyurusu (FG-IR-26-141) ve yamalar yayınladı. FortiSandbox 5.0.6 ve üzeri, FortiSandbox Cloud 5.0.6 ve üzeri ile FortiSandbox PaaS 5.0.6 ve üzeri sürümlere yükseltme yapmak bu açığı kapatıyor .

CVSS puanlaması hakkında bir not: Bazı erken kaynaklar başlangıçta CVE-2026-39808 ve CVE-2026-39813 için 9.8 CVSS puanı belirtmiş olsa da , NVD, Defused, BleepingComputer ve The Hacker News gibi yetkili kuruluşların Haziran ortası raporları, her üç CVE için de tutarlı bir şekilde 9.1 puanını teyit etmektedir . Güvenlik ekipleri, güncel tehdit istihbaratıyla uyumlu olması için 9.1 puanını dikkate almalıdır.

CVE-2026-25089 Yapay Zeka Tarafından Üretilen İstismar Kodu Hakkında Ne Söylüyor?

Defused, CVE-2026-25089'u hedef alan istismar kodunun "vibecoded" olarak göründüğünü belirtti. Bu terim, kodun muhtemelen yapay zeka tarafından üretildiğini veya aceleyle bir araya getirildiğini ve profesyonelce hazırlanmış bir istismar kodunun ince işçiliğinden ve güvenilirliğinden yoksun olduğunu ifade ediyor ."Vibecoding" ile kastedilen, kodun "ne yaptığını anlamaktan çok, çalıştığı hissine kapılarak" yazılmasıdır.

Bu gözlem, yapay zekanın güvenlik açığı istismarının ekonomisini nasıl değiştirdiğine dair nadir bir pencere aralıyor:

• Daha düşük giriş engeli: Yapay zeka modelleri, işletim sistemi komut enjeksiyonu gibi iyi tanımlanmış hata sınıfları için hızlıca işlevsel istismar kodları üreterek daha az becerikli aktörlerin yeni yamalanmış açıklara saldırma girişiminde bulunmasını sağlıyor. CVE-2026-25089 için onaylanmış, güvenilir bir açık istismar kodu bulunmamasına rağmen, yamanın yayınlanmasından günler sonra sömürü girişimleri başladı .
• Hatalı ve tutarsız sonuçlar: Gözlemlenen saldırı zinciri, standart tarayıcı kullanıcı aracısı (User-Agent) taklidi ve basit HTTP istekleri kullanıyor, ancak yükün (payload) "potansiyel olarak hatalı ve tutarsız kod yürütme sonuçlarına" sahip olduğu değerlendiriliyor . Bu, yapay zeka tarafından üretilen kodun daha geniş gerçekliğiyle örtüşüyor: genellikle sözdizimsel olarak doğru, ancak özellikle hassas protokol manipülasyonu gerektiren açıklar için mantıksal olarak kırılgan olabiliyor.
• Daha gürültülü, tespiti kolay saldırılar: Hatalı istismar kodları, cerrahi hassasiyetle hazırlanmış insan yapımı araçlara kıyasla daha fazla ağ gürültüsü ve hata koşulu üretir. Savunmacılar için bu, yamalanmamış sistemlere karşı başarılı olacak kadar tehlikeli olsalar bile, bu saldırıların davranışsal analiz ve anomali tespiti yoluyla tespit edilmesinin daha kolay olabileceği anlamına gelir .
• Muhtemel bir gelecek trendi: CVE-2026-25089, erken bir vaka çalışması niteliğinde. Büyük dil modellerinin (LLM) kullanılabilirliği, yama yayını ile ilk istismar girişimleri arasındaki süreyi azalttı. Bugünün sonuçları tutarsız olsa da gidişat, yakın gelecekte yapay zeka destekli daha yetenekli istismar geliştirmelerine işaret ediyor.

Güvenlik Ekipleri Şimdi Ne Yapmalı?

FortiSandbox'taki üç güvenlik açığı da kimlik doğrulama gerektirmiyor, düşük karmaşıklığa sahip ve kullanıcı etkileşimi gerektirmiyor. Bu özellikler, onları otomatik tarama ve kitlesel istismar için ideal adaylar haline getiriyor . FortiSandbox, güvenlik duvarları (FortiGate) ve uç nokta tespit sistemleri de dahil olmak üzere diğer Fortinet ürünlerinin, otomatik engelleme kararlarını tetiklemek için onun zararlı yazılım kararlarına güvenebilmesi nedeniyle özellikle hassas bir konumda . Bir zincirleme reaksiyonu önlemek için atılacak adımlar şunlardır:

• Derhal yama yapın: CVE-2026-25089 için Fortinet'in FG-IR-26-141 duyurusunda belirtilen sabit sürümlere yükseltme yapın ve Nisan 2026'da yayınlanan CVE-2026-39813 ile CVE-2026-39808 yamalarının uygulandığından emin olun .
• Yönetim arayüzünü izole edin: FortiSandbox Web Arayüzüne ve JRPC API'sine güvenilmeyen ağlardan erişimi kısıtlayın. Bu arayüzler kesinlikle internete açık olmamalıdır .
• Saldırı Göstergelerini (IoC) Avlayın: FortiSandbox Web Arayüzüne yönelik, alışılmadık JSON yükleri içeren HTTP isteklerini arayın ve cihaza gelen trafikte standart tarayıcı kullanıcı aracısı dizgilerini izleyin .
• Aşağı yönlü etkiyi göz önünde bulundurun: FortiGate, FortiAnalyzer veya FortiSandbox ile entegre diğer Fortinet ürünlerini kullanıyorsanız, bunların doğru ve yetkili kararlar aldığından ve yetkisiz yapılandırma değişiklikleri olmadığından emin olun.

16 Haziran 2026 itibarıyla, herhangi bir müşteri etkisi ya da saldırıların belirli bir tehdit grubuna atfedildiği doğrulanmış değildir. Ancak yamanın yayınlanması ile doğada aktif istismarın başlaması arasındaki kısa süre, kuruluşların bu 9.1 puanlı açıkları birinci öncelikli olaylar olarak ele almasının aciliyetini açıkça ortaya koymaktadır .