CISA, Fortinet’in Saldırılarda Aktif Olarak Sömürülen 0 Günlük Güvenlik Açığına Karşı Uyardı

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Fortinet FortiClient Enterprise Management Server'da (EMS) kritik bir uygunsuz erişim kontrolü güvenlik açığı olan CVE -2026 -35616 'yı 6 Nisan 2026' da Known Exploited Vulnerabilities (KEV) kataloğuna ekledi ve federal kurumları 9 Nisan 2026 'ya kadar düzeltmeye zorladı. CVE -2026 -35616, CVSS puanı 9.1 olan CWE -284 'e (Uygunsuz Erişim Kontrolü) dayanan kritik öneme sahip bir kusurdur. Güvenlik açığı özellikle FortiClient EMS sürümleri 7.4.5 ve 7.4.6' yı etkilerken, 7.2 şubesi etkilenmeden kalır. Kusur, herhangi bir geçerli kimlik bilgisi olmadan ayrıcalık yükseltme sağlayan bir ön kimlik doğrulama API erişim baypası olarak işlev görür. Fortinet'in resmi tavsiyesine (FG – IR -26 -099) göre, güvenlik açığı kimliği doğrulanmamış bir saldırganın API kimlik doğrulama ve yetkilendirme korumalarından kaçınmasına ve özel olarak hazırlanmış http istekleri aracılığıyla kötü amaçlı kod veya komutları yürütmesine izin veriyor. Bu, tehdit aktörlerine açık EMS dağıtımlarına karşı kimliği doğrulanmamış bir uzaktan kod yürütme (RCE) ilkelini etkin bir şekilde verir. Bu sıfır gününün aktif kullanımı ilk olarak 31 Mart 2026 'da watchTowr bal küplerine karşı sömürü girişimleri tespit ettiğinde kaydedildi. Defused Cyber'dan güvenlik araştırmacıları Simo Kohonen ve Nguyen Duc Anh, kusuru keşfetmek ve sorumlu bir şekilde bildirmekle tanınıyor. Fortinet, hafta sonu acil durum danışmanlığında "savunmasız müşterileri FortiClient EMS 7.4.5 ve 7.4.6 için düzeltmeyi kurmaya çağırdığını" belirterek vahşi yaşamdaki sömürüyü doğruladı. Defused Cyber'ın kamuya açıklanmasının ardından Fortinet'ten gelen hızlı onay, tehdidin ciddiyetini ve aciliyetini vurgulamaktadır. Bu, birkaç hafta içinde istismar edilen ikinci kritik EMS güvenlik açığını işaret ediyor ve internete dönük FortiClient EMS dağıtımlarının maruz kaldığı saldırı yüzeyi hakkındaki endişeleri artırıyor.