Giriş
Siber dünyada, FortiClient Endpoint Management Server (EMS) sistemlerindeki kritik bir güvenlik açığı, kötü niyetli aktörler tarafından kullanılmaya devam ediliyor. Bu açık, kimlik bilgilerini çalan kötü amaçlı yazılımların dağıtımını sağlarken, kullanıcıların verilerini tehlikeye atma riski taşımaktadır.
Saldırı Nasıl Çalışıyor?
Güvenlik araştırmaları, Mayıs 2026’da, CVE-2026-35616 (CVSS puanı: 9.1 ) kodlu bir güvenlik açığının istismarını ortaya koydu. Bu açık, ön kimlik doğrulama API erişiminde bir atlama yaparak yetki yükseltmesine yol açmaktadır. Fortinet bu sorunu, FortiClient EMS 7.4.7 ve üzeri versiyonlarda gidermiştir.
Kötü niyetli aktörler, kurumsal yönetim altyapısını kullanarak, FortiClient güncellemesi gibi görünen bir kimlik bilgisi çalan yük ile malware’i sessizce çalıştırmışlardır. Bu işlem, PowerShell aracılığıyla gerçekleşmektedir.
Başarılı bir saldırıdan sonra, kötü niyetli aktörler aşağıdaki değişiklikleri yapmaktadır:
- Firmware güncelleme hatırlatmalarını erteleme.
- Uzaktan Erişim Profili yapılandırmasını değiştirme.
- Son noktalar üzerinde çalıştırılacak kötü niyetli bir betik ekleme.
Bu gözlemler, tehdit aktörlerinin FortiClient’ın kendi yönetim yolunu kullanarak kötü niyetli PowerShell komutlarını yönetilen son noktalara gönderdiklerini göstermektedir.
Etkilenen Sistemler
FortiClient EMS sistemlerindeki bu güvenlik açığından etkilenen cihazlar, istemci güncellemeleri aracılığıyla yönetilen bütün son noktalardır. Kötü niyetli aktörlerin bu yöntemle her yönetilen son noktayı hedef alma imkanı bulunmaktadır.
Teknik Detaylar
Saldırı, fortitray.exe adlı meşru bir yürütülebilir dosya ile cmd.exe kullanarak bir .cmd betik dosyası başlatarak gerçekleştirilmektedir. Bu .cmd betiği, Base64 kodlu bir PowerShell betiğini çağırmakta ve bu betik, kötü amaçlı bir yük indirip çalıştırmakta ve sonuçları 83.138.53[.]110 adresine HTTP POST isteği ile göndermektedir.
Yürütücü dosya, FortiEndpoint_Patch.exe olarak adlandırılmaktadır ve aslında bir Windows bilgi çalıcısıdır. Bu yazılım, Chromium- ve Gecko-tabanlı tarayıcılar üzerinden şifreler, çerezler ve otomatik doldurulmuş bilgiler (kredi kartı bilgileri, adresler ve telefon numaraları gibi) gibi hassas verileri toplama kapasitesine sahiptir.
Çözüm ve Korunma
Kötü niyetli yazılımlara karşı korunmak için kullanıcıların aşağıdaki adımları izlemeleri önerilmektedir:
- FortiClient EMS 7.4.7 veya daha yeni bir versiyona güncelleme yapın.
- Güvenlik duvarı kurallarınızı kontrol edin ve kötü niyetli IP adreslerine karşı erişim engelleyin.
- PowerShell betiklerinin çalışma izinlerini kısıtlayın.
Sonuç
Kullanıcıların, sistemlerini güncelleyerek ve yapılandırma ayarlarını dikkatlice kontrol ederek bu tehdide karşı önlem almaları kritik önem taşımaktadır. Portları kapatmak ve duyarlı alanların güvenliğini artırmak da alınacak tedbirler arasında yer almaktadır. Unutmayın, güvenliğiniz için sürekli güncel kalmak şarttır.
