Ulaşım
- Adres:2342 Sk, İpekyol, İpek Ap 49A, 63250 Haliliye/Şanlıurfa
- Telefon:
0542 315 45 37
0545 528 88 93 - eMail: info@alestaweb.com
Fortinet'in uç nokta yönetim sunucusu FortiClient EMS'de keşfedilen CVE-2026-35616 açığı, CVSS 9.1 kritik skoruyla dünya genelinde binlerce kurumsal ağı tehdit ediyor. Mart sonunda honeypot'larda tespit edilen bu zero-day exploit, kimlik doğrulaması bile gerektirmeden uzaktan kod çalıştırmaya izin veriyor. Alesta Web siber güvenlik ekibi olarak bu rehberde açığın teknik detaylarını, tespit yöntemlerini ve acil yama adımlarını sizlerle paylaşıyoruz.
Alesta Web güvenlik bültenlerini takip edenler bilir: Fortinet ürünleri kurumsal dünyada çok yaygın kullanılıyor ve bu da onları saldırganların birincil hedefi haline getiriyor. CVE-2026-35616, Fortinet'in FortiClient Endpoint Management Server (EMS) platformunda bulunan bir improper access control (yetersiz erişim kontrolü) güvenlik açığıdır. Kısacası, saldırgan kimlik doğrulaması yapmadan API üzerinden sisteme sızabiliyor.
Bu açık, pre-authentication API access bypass olarak sınıflandırılıyor. Ne demek bu? Normalde FortiClient EMS'in yönetim API'sine erişmek için geçerli kimlik bilgilerine ihtiyacınız var. Ancak CVE-2026-35616 sayesinde saldırgan, özel olarak hazırlanmış (specially crafted) bir HTTP isteği göndererek bu kimlik doğrulama katmanını tamamen atlatıyor. Sonuç olarak yetki yükseltme (privilege escalation) gerçekleştirip sunucu üzerinde kod çalıştırabiliyor.
CVSS skoru 9.1 yani "Kritik" seviyesinde. Bu skor şaka değil — biz alestaweb.com'da yıllardır güvenlik açıklarını takip ediyoruz ve 9.0 üstü skorlar her zaman "her şeyi bırak, bununla ilgilen" anlamına geliyor.
Bu açık teorik değil. 31 Mart 2026'da ilk exploit girişimleri honeypot sistemlerinde tespit edildi. CISA, 6 Nisan 2026'da bu açığı Known Exploited Vulnerabilities (KEV) kataloğuna ekledi. Yani saldırganlar şu an aktif olarak bu açığı kullanıyor.
FortiClient EMS'in ne olduğunu kısaca hatırlatalım: Bu sunucu, kurumunuzdaki tüm FortiClient uç noktalarını merkezi olarak yönetir. Güvenlik politikalarını dağıtır, yapılandırmaları zorlar, VPN profillerini yönetir. Yani bir nevi kurumsal uç nokta güvenliğinizin beyni. Bu beyni ele geçiren bir saldırgan, tüm uç noktalara kötü amaçlı yapılandırmalar gönderebilir, güvenlik kontrollerini devre dışı bırakabilir ve ağda yatay hareket (lateral movement) yapabilir.
Alesta Web teknik analiz ekibimiz, mevcut kaynaklardan derlediğimiz bilgilerle saldırı vektörünü aşağıdaki şekilde özetliyor:
1. Keşif (Reconnaissance)
└─ Saldırgan, internete açık FortiClient EMS sunucularını tarar
└─ TCP 8013 (EMS yönetim portu) ve TCP 443 hedeflenir
2. İlk Erişim (Initial Access)
└─ Specially crafted HTTP request → /api/v1/init_consts endpoint
└─ Authentication bypass gerçekleşir
└─ Sunucu, isteği yetkili bir yönetici isteği olarak işler
3. Yetki Yükseltme (Privilege Escalation)
└─ API üzerinden yönetici seviyesinde erişim elde edilir
└─ Endpoint politikalarına müdahale imkanı doğar
4. Kod Çalıştırma (Code Execution)
└─ Sunucu üzerinde arbitrary code execution
└─ cmd.exe veya PowerShell spawn edilir
└─ Kalıcılık (persistence) mekanizmaları kurulur
5. Yatay Hareket (Lateral Movement)
└─ Yönetilen tüm endpoint'lara kötü amaçlı politika dağıtımı
└─ Ağ genelinde yayılma
Açığın kök nedeni, FortiClient EMS'in API katmanında yer alan erişim kontrolü mantığındaki bir hata. Sistem, gelen API isteklerinin gerçekten yetkili bir kaynaktan gelip gelmediğini doğru şekilde doğrulamıyor. Saldırgan, özel olarak oluşturulmuş bir istek (specially crafted request) ile bu doğrulama mekanizmasını tamamen atlatabiliyor.
Özellikle dikkat çekici olan nokta şu: Bu bir pre-authentication açığı. Yani saldırganın herhangi bir kullanıcı adı veya parola bilmesine gerek yok. Ağdan erişebildiği sürece exploit edebilir. Bu tür açıklar saldırganlar için altın değerinde çünkü sosyal mühendislik veya credential stuffing gibi ek adımlara gerek kalmıyor.
6 Nisan 2026 itibarıyla GitHub'da bir proof-of-concept (PoC) exploit yayınlandı. Tenable Research henüz bu exploit'i doğrulamamış olsa da, vahşi doğada (in the wild) aktif sömürü zaten kanıtlanmış durumda. PoC'nin varlığı, teknik bilgisi daha düşük saldırganların da bu açığı kullanabileceği anlamına geliyor — ki bu durumu çok daha tehlikeli kılıyor.
watchTowr araştırmacıları, ilk exploit girişimlerini Attacker Eye sensörlerinde 31 Mart'ta tespit etti. Fortinet'in resmi danışma belgesini (advisory) 4 Nisan'da yayınlamasından tam 4 gün önce saldırılar başlamıştı. Bu süreç, açığın keşfedilmeden önce bile saldırganlar tarafından kullanıldığını gösteriyor — klasik bir zero-day senaryosu.
Alesta Web olarak müşterilerimize her zaman söylediğimiz şey: "Etkilenen sürümler listesine bakın, kendinizi orada görüyorsanız hemen harekete geçin." İşte CVE-2026-35616 için durum:
| Ürün | Etkilenen Sürümler | Güvenli Sürüm | Durum |
|---|---|---|---|
| FortiClient EMS | 7.4.5 - 7.4.6 | 7.4.7 (yakında) | ⚠️ Hotfix mevcut |
| FortiClient EMS | 7.4.4 ve öncesi | - | ✅ Etkilenmez |
| FortiClient EMS | 7.2.x ve öncesi | - | ✅ Etkilenmez |
Shadowserver taramalarına göre dünya genelinde 2.000'den fazla FortiClient EMS sunucusu internete açık durumda. Bunların büyük çoğunluğu ABD ve Almanya'da yer alıyor, ancak Türkiye'de de önemli sayıda kurumsal FortiClient EMS dağıtımı bulunuyor. Biz alestaweb.com olarak Türkiye'deki müşterilerimizi bu konuda özellikle uyarıyoruz.
FortiClient EMS'de yakın zamanda keşfedilen bir diğer açık olan CVE-2026-21643 (SQL injection) yalnızca 7.4.4 sürümünü etkiliyor ve Aralık 2025'te düzeltilmişti. CVE-2026-35616 ise tamamen farklı bir açık. Her iki açık da farklı sürümleri etkiliyor, bu yüzden hangi sürümü çalıştırdığınızı kesin olarak bilmeniz şart.
Sürümünüzü kontrol etmek için FortiClient EMS yönetim konsoluna giriş yapın ve Help > About menüsünden ya da komut satırından sürüm bilgisini doğrulayın. Eğer 7.4.5 veya 7.4.6 kullanıyorsanız, bu yazının geri kalanını çok dikkatli okumanızı öneriyoruz.
Maalesef Fortinet şu ana kadar resmi IOC (Indicators of Compromise) listesi yayınlamadı. Ancak Alesta Web güvenlik araştırma ekibi ve topluluk raporlarından derlediğimiz bilgilere göre aşağıdaki göstergelere dikkat etmeniz gerekiyor:
# Şüpheli API istekleri kontrol edin
# EMS yönetim portlarına (TCP 8013 ve 443) gelen trafiği inceleyin
1. /api/v1/init_consts endpoint'ine normalden fazla istek
2. Kimlik doğrulama başlığı (auth header) olmayan API istekleri
3. Dış veya beklenmeyen IP adreslerinden gelen yönetim trafiği
4. EMS sunucusundan dışarıya doğru beklenmeyen bağlantılar
5. Standart dışı portlar üzerinden outbound trafik
# FortiClient EMS sunucusunda şunları kontrol edin:
1. EMS sürecinin cmd.exe veya powershell.exe spawn etmesi
→ Bu YÜKSEK derecede anormal ve exploit göstergesidir!
2. PostgreSQL loglarında olağandışı veritabanı hata mesajları
3. /api/v1/init_consts endpoint'inde HTTP 500 hataları
4. Yetkisiz uzaktan izleme ve yönetim (RMM) araçları
→ AnyDesk, TeamViewer, ngrok gibi araçlar sunucuda olmamalı
5. Beklenmeyen zamanlanmış görevler (scheduled tasks)
6. Yeni oluşturulmuş yerel yönetici hesapları
Log analizi bu noktada kritik önem taşıyor. FortiClient EMS'in kendi logları, Windows Event Log ve ağ güvenlik cihazlarınızın loglarını birlikte değerlendirmeniz gerekiyor. Özellikle /api/v1/init_consts endpoint'ine yapılan isteklerde HTTP 500 hatalarının artışı, exploit denemelerinin güçlü bir göstergesi.
# Son 7 günde EMS ile ilgili şüpheli süreç oluşumlarını kontrol edin
Get-WinEvent -FilterHashtable @{
LogName='Security';
Id=4688;
StartTime=(Get-Date).AddDays(-7)
} | Where-Object {
$_.Properties[5].Value -like '*FortiClient*' -and
($_.Properties[5].Value -like '*cmd.exe*' -or
$_.Properties[5].Value -like '*powershell.exe*')
} | Format-Table TimeCreated, Message -AutoSize
# EMS loglarında HTTP 500 hatalarını arayın
Select-String -Path "C:\Program Files\Fortinet\FortiClientEMS\logs\*.log" `
-Pattern "500|init_consts|unauthorized" -Context 2
Alesta Web müşterilerine önerimiz: Yukarıdaki göstergeleri SIEM kurallarına dönüştürün. Splunk, QRadar veya Elastic SIEM kullanıyorsanız, EMS yönetim portlarına (TCP 8013 ve 443) gelen anomalileri tespit edecek korelasyon kuralları oluşturun. Özellikle authentication header'ı olmayan API istekleri ve EMS sürecinden spawn edilen shell process'ler için yüksek öncelikli alarm kuralları tanımlayın.
CISA'nın 6 Nisan 2026'da bu açığı KEV kataloğuna eklemesiyle birlikte, ABD federal kurumları 9 Nisan 2026'ya kadar yama uygulamak zorunda kaldı. Siz de bu süreyi kendiniz için bir son tarih olarak kabul etmelisiniz. Alesta Web olarak adım adım yama sürecini anlatıyoruz:
# FortiClient EMS sürümünüzü doğrulayın
# Yöntem 1: Kayıt defteri üzerinden
Get-ItemProperty "HKLM:\SOFTWARE\Fortinet\FortiClientEMS" | Select-Object Version
# Yöntem 2: Uygulama üzerinden
# FortiClient EMS Console → Help → About
# EMS yapılandırmasını yedekleyin
# FortiClient EMS Console → Administration → Backup
# Veritabanı yedeği de alın
# PostgreSQL dump komutu:
pg_dump -U forticlient -d forticlient_ems -F c -f "C:\Backup\ems_backup_$(Get-Date -Format 'yyyyMMdd').dump"
Hotfix uygulaması sırasında beklenmeyen sorunlar yaşanabilir. Yedek almadan asla güncelleme yapmayın. Hem EMS yapılandırmasını hem de PostgreSQL veritabanını yedekleyin.
1. Fortinet Support Portal'a giriş yapın:
https://support.fortinet.com
2. Downloads → Firmware Images → FortiClient EMS
3. Mevcut sürümünüze uygun hotfix'i indirin:
- FortiClientEMS 7.4.5 → Hotfix Build 0452
- FortiClientEMS 7.4.6 → Hotfix Build 0231
4. İndirilen hotfix dosyasının SHA256 hash'ini doğrulayın
(Fortinet'in release notes sayfasındaki hash ile karşılaştırın)
5. EMS hizmetlerini durdurun:
→ Services → FortiClient EMS Service → Stop
6. Hotfix installer'ı yönetici olarak çalıştırın
7. EMS hizmetlerini yeniden başlatın
8. EMS Console'a giriş yapıp sürümü doğrulayın
# EMS hizmetinin çalıştığını doğrulayın
Get-Service -Name "FortiClientEMS*" | Format-Table Name, Status
# EMS portlarının dinlediğini kontrol edin
netstat -an | Select-String "8013|8014"
# EMS Console'dan endpoint bağlantılarını kontrol edin
# Tüm endpoint'ların başarılı şekilde check-in yaptığından emin olun
Fortinet, tam düzeltmeyi içeren 7.4.7 sürümünü yakında yayınlayacağını duyurdu. Hotfix geçici bir çözüm. 7.4.7 yayınlandığında hemen yükseltme yapmanızı şiddetle tavsiye ediyoruz. alestaweb.com üzerinden güncelleme duyurularını takip edebilirsiniz.
Hotfix'i hemen uygulayamıyorsanız veya uyguladıktan sonra bile ek güvenlik katmanları istiyorsanız, aşağıdaki geçici önlemleri hemen devreye alın. Alesta Web siber güvenlik danışmanları olarak bu önlemleri müşterilerimize aktif olarak uyguluyoruz:
# Windows Firewall ile EMS yönetim portlarına erişimi sınırlayın
# Sadece yetkili yönetim alt ağlarından erişime izin verin
# Mevcut kuralları kontrol edin
Get-NetFirewallRule | Where-Object {$_.DisplayName -like "*FortiClient*"}
# TCP 8013 portunu sadece yönetim ağına kısıtlayın
New-NetFirewallRule -DisplayName "EMS-Mgmt-Restrict-8013" `
-Direction Inbound -Protocol TCP -LocalPort 8013 `
-RemoteAddress "10.0.1.0/24" -Action Allow
# Diğer tüm kaynaklardan 8013'e erişimi engelleyin
New-NetFirewallRule -DisplayName "EMS-Mgmt-Block-8013-All" `
-Direction Inbound -Protocol TCP -LocalPort 8013 `
-Action Block
# TCP 443 için aynısını yapın (yönetim web arayüzü)
New-NetFirewallRule -DisplayName "EMS-Mgmt-Restrict-443" `
-Direction Inbound -Protocol TCP -LocalPort 443 `
-RemoteAddress "10.0.1.0/24" -Action Allow
# FortiGate üzerinde EMS sunucusunu izole edin
config firewall policy
edit 100
set name "EMS-Management-Access"
set srcintf "management-vlan"
set dstintf "server-vlan"
set srcaddr "admin-subnet"
set dstaddr "ems-server"
set service "TCP-8013" "HTTPS"
set action accept
set logtraffic all
next
edit 101
set name "EMS-Block-External"
set srcintf "wan1"
set dstintf "server-vlan"
set srcaddr "all"
set dstaddr "ems-server"
set service "TCP-8013" "HTTPS"
set action deny
set logtraffic all
next
end
# EMS yönetim arayüzünü doğrudan internete açmayın
# FortiWeb veya başka bir WAF arkasına alarak:
# - IP bazlı erişim kısıtlaması uygulayın
# - Rate limiting aktif edin
# - /api/ endpoint'lerine gelen istekleri filtreyin
# - Anomali tespiti kuralları oluşturun
Bu önlemler saldırı yüzeyini daraltır ancak açığı tamamen kapatmaz. İç ağdan gelebilecek saldırılara karşı hala savunmasızsınız. Mutlaka hotfix uygulayın veya 7.4.7 yayınlandığında hemen güncelleyin.
Yama uyguladıktan sonra bile, Alesta Web güvenlik sertleştirme rehberimize göre aşağıdaki adımları uygulamanızı öneriyoruz. Bu önlemler sadece CVE-2026-35616'ya karşı değil, gelecekte çıkabilecek benzer açıklara karşı da koruma sağlayacak.
□ EMS yönetim arayüzünü internetten erişilemez yapın
□ Yönetim erişimini VPN veya jump host üzerinden sağlayın
□ EMS admin hesaplarında güçlü parola politikası uygulayın
□ Çok faktörlü kimlik doğrulama (MFA) aktifleştirin
□ Gereksiz API endpoint'lerini devre dışı bırakın
□ EMS sunucusu için ayrı bir VLAN oluşturun
□ Sunucudan internete çıkış trafiğini whitelist ile sınırlayın
□ Düzenli yedekleme planı oluşturun ve test edin
□ Audit logging'i aktif edin ve merkezi log sunucusuna gönderin
□ Windows sunucuyu CIS Benchmark'a göre sertleştirin
# Süreç izleme: EMS'den anormal süreç spawn'larını yakalayın
# Sysmon ile (Event ID 1 - Process Create):
# Sysmon yapılandırması (XML):
# <RuleGroup>
# <ProcessCreate onmatch="include">
# <ParentImage condition="contains">FortiClientEMS</ParentImage>
# <Image condition="is">C:\Windows\System32\cmd.exe</Image>
# </ProcessCreate>
# <ProcessCreate onmatch="include">
# <ParentImage condition="contains">FortiClientEMS</ParentImage>
# <Image condition="is">C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Image>
# </ProcessCreate>
# </RuleGroup>
# PowerShell ile anlık kontrol:
Get-WmiObject Win32_Process | Where-Object {
$_.ParentProcessId -in (
Get-Process -Name "*FortiClientEMS*" -ErrorAction SilentlyContinue |
Select-Object -ExpandProperty Id
)
} | Select-Object ProcessId, Name, CommandLine
# FortiGate IPS imzalarını güncelleyin
# FortiGuard'dan en son IPS signature paketini çekin
execute update-ips
diagnose ips signatures list | grep -i "forticlient"
# Syslog üzerinden anomali tespiti
# EMS sunucusuna gelen/giden trafikte şunları izleyin:
# - TCP 8013 üzerinde auth header'sız istekler
# - /api/v1/init_consts endpoint'ine yoğun istek paterni
# - EMS sunucusundan standart dışı portlara outbound bağlantı
# - Yeni veya bilinmeyen IP'lerden gelen yönetim trafiği
Bu tür açıklar, düzenli güvenlik denetiminin ne kadar önemli olduğunu bir kez daha gösteriyor. Alesta Web olarak kurumsal müşterilerimize üç ayda bir penetrasyon testi ve güvenlik yapılandırma denetimi öneriyoruz. FortiClient EMS gibi kritik yönetim sunucuları, denetim kapsamında öncelikli olarak ele alınmalıdır. Daha fazla bilgi için alestaweb.com adresinden bizimle iletişime geçebilirsiniz.
CVE-2026-35616, FortiClient EMS kullanan her kurum için acil müdahale gerektiren kritik bir güvenlik açığıdır. CVSS 9.1 skoruyla, aktif sömürü kanıtlarıyla ve artık kamuya açık PoC exploit'iyle bu açık hiçbir şekilde göz ardı edilemez.
Hemen yapmanız gerekenler:
Fortinet ürünleri kurumsal ağların bel kemiğini oluşturuyor ve bu tür açıklar tüm organizasyonu risk altına sokuyor. Alesta Web siber güvenlik ekibi olarak bu tür kritik açıkları yakından takip ediyor ve müşterilerimizi anında bilgilendiriyoruz.
Bu makaledeki bilgiler 10 Nisan 2026 itibarıyla günceldir. Fortinet'in yeni danışma belgeleri ve yama güncellemelerini alestaweb.com üzerinden takip etmeye devam edin. Siber güvenlikte proaktif olmak, reaktif olmaktan her zaman daha ucuza mal olur.
Faydalı Kaynaklar:
© 2026 Alesta Web - Tüm hakları saklıdır.
