FortiClient EMS Açıklarıyla İlgili Tehditler
Gelişen siber tehditler, güvenlik yazılımlarının zafiyetleri üzerinden sistemlere sızmayı hedefliyor. Son dönemde, FortiClient Enterprise Management Server (EMS) içindeki bir açık (CVE-2026-35616) ciddi bir tehlike oluşturmuştur.
Saldırı Nasıl Çalışıyor?
Saldırganlar, CVE-2026-35616 kodu ile tanımlanan kimlik doğrulama atlama açığını kullanarak, FortiClient EMS üzerinden bir kimlik bilgisi çalıcı olan EKZ’yi dağıtıyorlar. Bu süreçte:
- Hedef sistemlerin VPN scripting iş akışları manipüle edilerek kötü amaçlı yazılım güncellemesi gibi gösteriliyor.
- Açık, kimlik doğrulaması gerektirmeyen uzaktan saldırganların özel olarak hazırlanmış talepleri ile rastgele komut veya kod çalıştırmalarına olanak tanıyor.
Fortinet, bu zafiyetten haberdar olduktan sonra 7.4.5 ve 7.4.6 sürümleri için acil yamalar yayınlamıştır.
Etkilenen Sistemler
Saldırının hızla yayıldığını belirten CISA, federal ajansların bu zafiyetlere karşı önlem almasını istemiştir. Arctic Wolf siber güvenlik şirketi, saldırıların EKZ kimlik bilgisi çalıcıyı dağıtarak gerçekleştiğini tespit etmiştir. Saldırılar şunları içermektedir:
- Endpoint API’lerini kullanarak kimlik doğrulama olmaksızın yönetimsel işlemler gerçekleştirmek.
- EMS yapılandırmasını ve VPN politikalarını değiştirmek.
- Kötü amaçlı betikleri çalıştırmak için fortitray.exe aracı kullanmak.
Bunların ardından, IPsec tüneli kurulduktan sonra PowerShell kullanılarak kötü amaçlı yazılım indirilmekte ve çalıştırılmaktadır.
Çözüm ve Korunma
EKZ kimlik bilgisi çalıcı, kullanıcıların tarayıcılarından kimlik bilgileri, kredi kartı bilgileri, adresler ve çerezler gibi hassas verileri çalmakta ve çok faktörlü kimlik doğrulama korumasını aşmaktadır. Korunmak için şunları öneriyoruz:
- 7.4.5 ve 7.4.6 sürümlerinden en kısa zamanda güncelleme yapın.
- Uzaktan Erişim Profilleri’nde beklenmedik değişiklikler olup olmadığını kontrol edin.
- Sistem kayıtlarında “Certificate not found in request header” gibi anormallikleri izleyin.
- Yeni hesaplar, alışılmadık IP adresleri ile girişler gibi şüpheli yönetim aktivitelerini dikkatlice gözlemleyin.
Aksi takdirde, sistemleriniz büyük risk altına girebilir. Siber güvenlik önlemleri alarak bu tür saldırıların önüne geçmek ve kritik verilerinizi korumak hayati öneme sahiptir.
