EresusSecurity
Araştırmalara Dön
Zafiyet Analizi

Fortinet FortiClient EMS Zafiyeti (CVE-2026-35616) Analizi ve Acil Çözüm Rehberi

Yiğit İbrahim SağlamOfansif Güvenlik Uzmanı
7 Nisan 2026
Güncellendi: 26 Nisan 2026
6 dk okuma
GuideVulnerability Research

Siber güvenlik dünyası, geçtiğimiz hafta aktif olarak sömürülen ve doğrudan yetki yükseltmeye (Privilege Escalation) neden olan yeni bir Fortinet FortiClient EMS zafiyetiyle sarsıldı.

CVE-2026-35616 (CVSS Puanı: 9.1) kodlu bu zafiyet, saldırganların hiçbir kimlik doğrulamasına (Authentication) ihtiyaç duymadan FortiClient uç nokta yönetim sunucularında işletim sistemi seviyesinde komut çalıştırabilmesine olanak tanıyor. Eresus Security Red Team laboratuvarlarında yaptığımız teknik incelemeler ve WatchTowr'un bal küpü (honeypot) verilerine göre, zafiyet ilk olarak 31 Mart 2026'da (tatil dönemlerini fırsat bilen) Çin destekli siber tehdit aktörleri tarafından aktif olarak sömürülmeye başlandı.

Bu makalede, bu ölümcül API yetki atlatma (Access Bypass) açığının nasıl çalıştığını ve sistemlerinizi nasıl koruyacağınızı inceliyoruz.

1. Zafiyetin Etki Alanı ve Kapsamı

Hedeflenen Sistem: Fortinet FortiClient EMS (Kurumsal Uç Nokta Yönetim Sunucusu) Etkilenen Versiyonlar: 7.4.5 ve 7.4.6 sürüm aralıkları. Zafiyet Türü: CWE-284 (Improper Access Control / Hatalı Erişim Kontrolü)

FortiClient EMS, şirket ağındaki binlerce uç nokta cihazının (laptop, sunucu vb.) güvenlik politikalarını yöneten bir karargahtır. Bu sunucu ele geçirildiğinde, saldırganlar teorik olarak kuruma bağlı tüm uç noktalara Ransomware (Fidye Yazılımı) veya casus yazılımlar dağıtabilir.

2. Teknik Derinlik: Saldırganlar API'yi Nasıl Kandırıyor?

Fortinet, 2026'nın başında da benzer bir API atlatma problemiyle karşılaşmıştı (CVE-2026-21643). Ancak CVE-2026-35616 çok daha sofistike bir yaklaşım sergiliyor.

Sisteminizin internete açık olan FortiClient EMS API uç noktaları, temelde bir web sunucusu (çoğunlukla Node.js veya Python tabanlı bir backend) üzerinden çalışır. Zafiyetin kalbi, Middleware yetkilendirme katmanındaki bir mantık hatasında yatıyor.

Saldırgan, sisteme özel olarak biçimlendirilmiş bir HTTP isteği (örneğin Header alanında sahte veya null byte barındıran bir X-Forwarded-For türevi ya da manipüle edilmiş JSON gövdesi) yolluyor.

  • Zafiyet Noktası: İstek, kimlik doğrulama devresini bypass ederek doğrudan SYSTEM veya yetkili bir havuz (pool) üzerinden işleniyor.
  • Sonuç: Saldırgan, kimlik doğrulamasız bir şekilde veritabanına komut gönderebiliyor, admin şifrelerini dump edebiliyor veya sunucuda RCE (Remote Code Execution) elde edebiliyor.

"Bayram veya tatil haftası" seçilmesinin nedeni ise sistemlerin otopilotta çalıştığı ve acil müdahale (SOC) ekiplerinin kapasitesinin düşük olduğu anı yakalamaktır. Saldırgan için saatler bile büyük fark yaratır.

3. CISA Uyarısı ve Alınması Gereken Önlemler

ABD Siber Güvenlik Ajansı (CISA), 6 Nisan 2026 tarihinde bu zafiyeti "Bilinen İstismar Edilmiş Zafiyetler (KEV)" kataloğuna ekledi ve tüm federal kurumlara açık sistemlerin 3 gün içinde yamanması emrini verdi.

Eğer şirketiniz FortiClient EMS 7.4.5 veya 7.4.6 kullanıyorsa ve sunucunuz dış ağa açık durumdaysa, bunu bir Pazartesi sabahı işi olarak değil, bir Acil Durum Çağrısı (Incident Response) olarak değerlendirmelisiniz.

Çözüm Adımları:

  1. Hızlı Yama (Hotfix): Fortinet, FortiClient EMS 7.4.7 ana güncellemesi gelene kadar acil bir Hotfix (yama) yayınladı. Bu yamayı anında uygulayın.
  2. Davranışsal İzolasyon: EMS panellerinizi asla doğrudan "Public Internet"e açık tutmayın. IP filtrelemesi, Zero-Trust network erişimi (ZTNA) veya sıkı kuralları olan bir VPN üzerinden izole edin.
  3. Logs & Av Denetimi: Sunucunuzun loglarını inceleyin. Bilinmeyen IP adreslerinden gelen aşırı (Brute-Force) veya anlamsız API istek silsilesi varsa sistemleriniz zaten Compromised duruma düşmüş olabilir.

Eresus Security olarak, kritik varlık yönetim sistemlerinizin bu tip Sıfır-Gün zafiyetlerini (Zero-Day) proaktif olarak engelleyebilmesi için dışarıdan ve içeriden Otonom Zafiyet Analizlerine tabi tutulmasını şiddetle tavsiye ediyoruz. Sisteminizin savunmasını test etmek ve altyapınızı güçlendirmek için uzmanlarımızla hemen iletişime geçin.

Temel Değerlendirme

Fortinet FortiClient EMS Zafiyeti (CVE-2026-35616) Analizi ve Acil Çözüm Rehberi konusu yalnızca teknik bir ayrıntı değildir; yanlış ele alındığında veri sızıntısı, yetki aşımı, operasyon kesintisi veya regülasyon riski doğurur. En doğru yaklaşım, varlıkları ve kullanıcı rollerini netleştirip gerçek saldırı yolunu kanıtla test etmek, ardından düzeltmeyi ölçülebilir retest kriterine bağlamaktır.

Neden Kritik?

  • Saldırganlar çoğu zaman en zayıf teknik kontrolü değil, en zayıf varsayımı hedefler.
  • Otomatik taramalar bilinen kalıpları yakalayabilir ama iş etkisini ve zincirleme saldırı yolunu tek başına göstermez.
  • Güvenlik çıktısı geliştirici, yönetici ve uyum ekibi tarafından aynı şekilde anlaşılmıyorsa aksiyona dönüşmez.

Pratik Senaryo

Bir ekip sistemi güvenli kabul eder çünkü login çalışır, pipeline yeşildir veya model beklenen cevabı üretir. Ancak saldırgan aynı akışta farklı kullanıcı, farklı tenant, farklı dosya veya farklı token ile deneme yaptığında tasarımın sakladığı gerçek risk ortaya çıkar. Bu yüzden testler mutlu yol yerine kötüye kullanım senaryolarıyla yazılmalıdır.

Yanlış Bilinenler

  • “Araç taradı, kritik yok” güvenlik onayı değildir.
  • “İç sistem, saldırgan erişemez” varsayımı modern saldırı zincirlerinde zayıftır.
  • “Bu sadece teknik borç” denilen konu çoğu zaman müşteri verisi veya production erişimiyle birleşir.

Karar Tablosu

| Durum | Risk seviyesi | Önerilen aksiyon | | --- | --- | --- | | Demo veya izole test ortamı | Düşük-Orta | Mimari kararları ve veri akışını belgeleyin | | Staging production verisine yakın | Orta-Yüksek | Yetki, log ve abuse testlerini ekleyin | | Production veya müşteri verisi | Yüksek | Profesyonel assessment, remediation ve retest planlayın |

Kontrol Listesi

  • Etkilenen ürün internete açık mı?
  • Versiyon ve konfigürasyon doğrulandı mı?
  • Geçici önlem uygulanabilir mi?
  • Loglarda exploit denemesi var mı?
  • Patch sonrası retest yapıldı mı?

Ne Zaman Profesyonel Destek Gerekir?

Zafiyet internete açık varlıkları, VPN/endpoint yönetimini, kimlik katmanını veya cloud erişimini etkiliyorsa profesyonel exposure validation gerekir.

Eresus Yaklaşımı

Eresus Security bulguları yalnızca başlık olarak raporlamaz. Her bulgu için tekrar üretilebilir kanıt, iş etkisi, önerilen düzeltme, sorumlu ekip ve retest koşulu yazılır.

Eresus Security, kritik CVE ve aktif sömürü haberlerini panik listesine değil, varlık etkisi, exposure doğrulaması, geçici önlem ve retest planına dönüştürür.

Uygulama Planı

1. Kapsamı Netleştir

  • Etkilenen varlıkları, kullanıcı rollerini ve veri sınıflarını çıkarın.
  • Normal kullanıcı akışıyla saldırgan akışını ayrı ayrı yazın.
  • Hariç tutulan sistemleri ve test sınırlarını açıkça belirtin.

2. Kanıt Üret

  • Bulguyu tek ekran görüntüsüne değil, tekrar üretilebilir adımlara bağlayın.
  • Etkiyi teknik hata ve iş sonucu olarak ayrı açıklayın.
  • Log, request ID, test hesabı ve zaman bilgisini not edin.

3. Retest Kriterini Belirle

  • Düzeltmenin ne zaman tamam sayılacağını önceden yazın.
  • Aynı sınıf hatanın başka endpoint veya akışlarda olup olmadığını kontrol edin.
  • Bulguyu kapatmadan önce negatif test senaryosunu yeniden çalıştırın.

Sık Sorulan Sorular

Fortinet FortiClient EMS Zafiyeti (CVE-2026-35616) Analizi ve Acil Çözüm Rehberi için ilk adım nedir?

İlk adım sistemin hangi veriye, hangi kimlikle ve hangi iş akışı üzerinden eriştiğini çıkarmaktır. Araç seçimi bundan sonra anlamlı hale gelir.

Otomatik araçlar bu riski tamamen yakalar mı?

Hayır. Otomatik araçlar başlangıç için faydalıdır, fakat yetki sınırı, iş mantığı, zincirleme etki ve gerçek istismar kanıtı manuel analiz gerektirir.

Bu çalışma çıktısı nasıl aksiyona dönüşür?

Her bulgu bir remediation sahibi, öncelik, iş etkisi ve retest kriteriyle yazıldığında doğrudan güvenlik backlog’una veya sprint planına girebilir.

Eresus bu konuda nasıl destek olur?

Eresus Security kapsam çıkarma, teknik test, kanıt üretimi, remediation danışmanlığı ve retest aşamalarını tek çalışma akışında destekler.

Ek Kontrol Soruları

  • Bu risk hangi varlıkları etkiliyor?
  • Hangi kullanıcı rolleri bu akışa erişebiliyor?
  • Aynı sorun başka endpoint veya entegrasyonda tekrar ediyor mu?
  • Bulgunun müşteri verisine etkisi var mı?
  • Loglardan olayın izi sürülebiliyor mu?
  • Düzeltme sonrası retest nasıl yapılacak?
  • Geçici önlem ile kalıcı çözüm ayrıldı mı?
  • İş etkisi teknik ekibin dışında da anlaşılır mı?
  • Benzer hata için önleyici kontrol eklenebilir mi?
  • Ekip bu kontrolü release sürecine bağlayabilir mi?
  • Gerekirse bağımsız doğrulama için hangi kanıtlar hazırlanmalı?
  • Sonraki sprintte hangi iç bağlantı ve servis sayfası desteklemeli?

Güvenlik Doğrulaması

Bu riski kendi sisteminizde test ettirdiniz mi?

Eresus Security; sızma testi, AI ajan güvenliği ve kırmızı takım operasyonlarıyla gerçek istismar kanıtı üretir.

Pilot test talep et

İlgili Araştırmalar

Red Team

Red Team ile Pentest Arasındaki Fark

Red team ve pentest aynı şey değildir; amaç, kapsam, yöntem, çıktı ve iş değeri açısından hangi durumda hangisi gerekir?

Attack Surface Management

External Attack Surface Management Nedir?

Şirketlerin internete açık varlıklarını, unutulmuş sistemlerini ve saldırıya açık yüzeylerini sürekli izlemek için EASM yaklaşımını açıklıyoruz.

Cloud Security

Cloud Security Review Neyi Kapsar?

AWS, Azure, GCP ve Kubernetes ortamlarında cloud security review yalnızca misconfiguration taraması değildir; IAM, network, logging, secret ve attack path birlikte incelenmelidir.