CVE-2026-35616: FortiClient EMS, Sahte Yamalar Yoluyla EKZ Infostealer Bulaştırmak için İstismar Ediliyor

CVE-2026-35616: FortiClient EMS, Sahte Yamalar Yoluyla EKZ Infostealer Bulaştırmak için İstismar Ediliyor

Fortinet'in FortiClient Endpoint Management Server'ında kritik bir güvenlik açığı şu anda vahşi ortamda aktif olarak silah haline getiriliyor. CVE-2026-35616 olarak izlenen bu açık, tehdit aktörleri tarafından özellikle aldatıcı bir yöntemle, sahte bir yazılım yaması aracılığıyla EKZ Infostealer zararlısını dağıtmak için kullanılıyor. FortiClient EMS güvenlik açığıyla kimlik bilgisi hırsızlığı kampanyası, merkezi uç nokta yönetimine güvenen kuruluşları hedef alarak kendi güvenlik altyapılarını bir saldırı vektörüne dönüştürüyor.

Dağıtık veya uzaktan iş gücünü yöneten BT ve güvenlik ekipleri için bu soyut bir tehdit değil. Saldırı zinciri meşru görünecek şekilde tasarlanmış, bu da onu özellikle tehlikeli yapıyor.

CVE-2026-35616 Vahşi Ortamda Nasıl İstismar Ediliyor

CVE-2026-35616, 9.1 CVSS puanına sahip ve FortiClient EMS içinde ön kimlik doğrulama atlama ve ayrıcalık yükseltme sağlıyor. Pratikte bu, saldırganların geçerli kimlik bilgileri olmadan yönetim sunucusuna erişebilmesi ve yüksek ayrıcalık düzeylerinde komut yürütebilmesi anlamına geliyor.

Bu kampanyayı tipik bir istismar girişiminden ayıran şey, etrafını saran sosyal mühendislik katmanı. Tehdit aktörleri, etkilenen yazılım için meşru bir güncelleme gibi gizlenmiş sahte bir yama dağıtıyor. Bir yönetici veya yönetilen uç nokta bu sahte yamayı işlediğinde, arka planda sessizce kötü amaçlı PowerShell komutları yürütüyor. Kurban normal bir güncelleme görürken; saldırgan bir dayanak kazanıyor.

Fortinet, güvenlik açığının bir sıfır-gün güvenlik açığı olarak istismar edildiğini doğruladıktan sonra Nisan ayında düzeltmeler yayımladı; bu, bir düzeltme mevcut olmadan önce saldırıların başladığı anlamına geliyor. Bu düzeltmeleri uygulamamış kuruluşlar hâlâ risk altında, ancak sahte yama tuzağı düzeltmeden önce teslim edilmişse, yamalı ortamlar bile risk altında olabilir.

EKZ Infostealer Neleri Çalıyor ve Kimler Risk Altında

Kötü amaçlı PowerShell komutları yürütüldüğünde, EKZ Infostealer ele geçirilen uç noktaya dağıtılır. Birincil amacı kimlik bilgisi toplamadır. Zararlı, özellikle tarayıcılarda saklanan kimlik bilgilerini, yaygın olarak kullanılan tarayıcılardaki kayıtlı kullanıcı adları ve parolaları ve yönetilen makinede erişilebilen diğer hassas verileri hedef alır.

FortiClient EMS, bir kuruluş genelindeki uç noktaları tek bir konsoldan yönetmek üzere tasarlandığından, başarılı bir ihlal yalnızca bir makineyi etkilemez. EMS sunucusu aracılığıyla erişim kazanan saldırganlar, yönetim şemsiyesi altındaki tüm uç noktalara potansiyel olarak ulaşabilir. Bu, tek bir istismar olayının patlama yarıçapını, bağımsız bir cihaz ihlaline kıyasla önemli ölçüde daha büyük hale getirir.

En doğrudan risk altındaki kuruluşlar, uç noktaların ev ağları, şube ofisleri ve geleneksel kurumsal çevre dışındaki diğer ortamlara dağıtıldığı uzak veya hibrit iş gücünü yönetmek için FortiClient EMS kullananlardır. Uzaktan çalışanlar kolaylık sağlamak için kimlik bilgilerini sıklıkla tarayıcılarda saklar ve bu da bu uç noktaları bilgi hırsızları için yüksek değerli hedefler haline getirir.

Uzak Ekipler için Yalnızca Uç Nokta Güvenlik Araçları Neden Yeterli Değil

Bu kampanyanın içinde acı bir ironi var. FortiClient'in kendisi bir uç nokta güvenlik ürünüdür ve yönetim sunucusu şimdi zararlı yazılım dağıtım mekanizması olarak kullanılıyor. Bu, güvenlik ekiplerinin teoride sıklıkla kabul ettiği ancak pratikte hayata geçirmekte zorlandığı daha geniş bir prensibi vurgular: hiçbir güvenlik aracı tek başına yeterli değildir.

Uç nokta güvenlik platformları bir savunma stratejisinin değerli bileşenleridir, ancak aynı zamanda yazılımdır ve yazılımların güvenlik açıkları vardır. Merkezi bir yönetim aracı ele geçirildiğinde, uygulaması gereken korumaları etkisiz hale getirebilir. Saldırganlar bunu anlıyor, bu yüzden yönetim arayüzleri ve güvenlik altyapısı yüksek öncelikli hedefler haline gelmiştir.

Özellikle uzak ekipler için saldırı yüzeyi, yönetilen cihazın çok ötesine uzanır. Ağ trafiği, kimlik bilgisi iletimi ve kimlik doğrulama akışları, kuruluşun tam olarak kontrol etmediği ortamlardan geçer. Ağ düzeyinde korumalar, sıfır güven erişim politikaları ve güçlü kimlik bilgisi hijyeni uygulamaları dahil olmak üzere katmanlı kontroller, uç nokta güvenlik araçlarının zorunlu tamamlayıcılarıdır, isteğe bağlı eklemeler değil.

Bu kampanyada kullanılan sahte yama dağıtım yöntemi, güncelleme sürecinin kendisinin nasıl istismar edilebileceğini de gözler önüne seriyor. Çalışanlar veya yöneticiler talep üzerine yama yüklemeye koşullanmışsa, saldırganlar bu davranışı silah haline getirebilir. Yüklemeden önce yamaların resmi satıcı kanalları aracılığıyla doğrulanması, bu kampanyanın özellikle aşmaya çalıştığı kritik bir adımdır.

Kuruluşunuzu Sahte Yama ve Bilgi Hırsızı Saldırılarına Karşı Nasıl Sertleştirirsiniz

FortiClient EMS kullanan kuruluşlar için acil öncelik, Fortinet'in resmi düzeltmelerini yalnızca doğrulanmış güncelleme kanalları aracılığıyla uygulamaktır. E-posta, sohbet veya tanıdık olmayan arayüzlerle iletilen istemlere veya bağlantılara güvenmeyin.

Acil yamanın ötesinde, önceliklendirilmeye değer somut adımlar şunlardır:

• Ele geçme belirtileri için yönetilen uç noktaları denetleyin. Beklenmeyen PowerShell yürütme olaylarını, olağandışı giden bağlantıları veya tarayıcı veri depolarında kimlik bilgisi toplama faaliyetine dair kanıtları arayın.
• Yönetim sunucusu erişimini kısıtlayın. FortiClient EMS, sıkı erişim kontrolleri olmadan genel internete maruz bırakılmamalıdır. Yönetim arayüzüne kimlerin ve nereden ulaşabileceğini sınırlayın.
• Tüm uzak erişim noktalarında çok faktörlü kimlik doğrulamayı zorunlu kılın. Çalınan tarayıcı kimlik bilgileri, kurumsal sistemlere doğrudan erişim sağladığında en tehlikelidir. MFA bu zinciri kırar.
• Yöneticileri sahte yama taktikleri konusunda eğitin. BT personelini hedef alan sosyal mühendislik saldırıları giderek yaygınlaşıyor. Bu taktiği anlayan ekiplerin tuzağa düşme olasılığı daha düşüktür.
• Uzak uç noktalar için ağ düzeyinde kontrolleri değerlendirin. Uzak cihazlardan gelen trafiği şifreleyen ve kimlik doğrulayan araçlar, özellikle uç nokta güvenlik aracının kendisi ele geçirildiğinde, uç nokta güvenliğini tamamlayıcı bir koruma katmanı ekler.

CVE-2026-35616 kampanyası, yamalı bir güvenlik açığı ile tamamen azaltılmış bir tehdit arasındaki farkı anlamanın önemini hatırlatıyor. Düzeltmeler uygulandıktan sonra bile, kuruluşların sahte yama tuzağının kendi ortamlarında zaten yürütülmüş olup olmadığını araştırması gerekir. Yama zamanlaması ve tamamlayıcı kontrollerin her ikisi de denklemin bir parçasıdır, bu da güvenlik çerçevelerinin uç nokta korumasını giderek bağımsız bir çözüm yerine birçok katman arasında bir katman olarak ele almasının nedenidir.

Kuruluşunuz uzak bir iş gücünü yönetiyorsa, yalnızca FortiClient EMS dağıtımınızı değil, daha geniş katmanlı güvenlik stratejinizi de denetlemek için şimdi iyi bir zaman. Bir sonraki kampanya onları istismar etmeden önce boşlukları belirlemek, kimlik bilgileri zaten çalındıktan sonra yanıt vermekten çok daha iyi bir konumdur.