forticlient ems'te aktif sömürülen açık, bilgi hırsızı malware dağıtılıyor

Posted on 29 May 2026

arkadaşlar, fortinet yine gündemde ama bu sefer kötü haberlerle. forticlient enterprise management server (ems) yazılımında CVE-2026-35616 numaralı bir authentication bypass (kimlik doğrulama atlama) açığı var ve aktif olarak sömürülüyor. saldırganlar bu açığı kullanarak ekz denen yeni bir credential stealer (kimlik bilgisi hırsızı) malware dağıtıyorlar.

ne oluyor yani?

şöyle ki, forticlient ems dediğimiz şey fortinet’in endpoint yönetim sunucusu. şirketler bunu kullanarak bilgisayarlarındaki forticlient vpn yazılımlarını merkezi olarak yönetiyorlar. saldırganlar bu CVE-2026-35616 açığını kullanarak kimlik doğrulamasını atlıyorlar ve sisteme sızıyorlar. sonra da ekz denen malware’i kuruyorlar.

spoiler: bu açık aktif olarak sömürülüyor, yani teorik değil, gerçekten saldırılar var.

teknik detaylar

  • zafiyet türü: authentication bypass (kimlik doğrulama atlama)
  • cve numarası: CVE-2026-35616
  • cvss skoru: henüz açıklanmamış ama aktif sömürü var, kritik kabul edin
  • saldırı vektörü: uzaktan, kimlik doğrulama gerektirmeden
  • etki: yetkisiz erişim, malware yükleme
  • dağıtılan malware: ekz (undocumented credential stealer - henüz dokümante edilmemiş kimlik bilgisi hırsızı)

etkilenen sistemler

sistemdurum
forticlient ems✅ etkileniyor
diğer fortinet ürünleri❌ şimdilik bilgi yok

edit: fortinet’ten resmi açıklama ve yama bekleniyor, siz de takipte kalın.

ekz malware ne yapıyor?

agalar, bu ekz denen şey yeni bir credential stealer. yani sisteminize girince:

  • tarayıcı şifrelerinizi çalıyor
  • vpn kimlik bilgilerinizi topluyor
  • sistem hesap bilgilerini çekiyor
  • toplanan her şeyi saldırganlara gönderiyor

henüz tam dokümante edilmemiş ama bilgi hırsızlığı konusunda oldukça yetenekli görünüyor.

ne yapmalısınız? (acil)

arkadaşlar, forticlient ems kullanıyorsanız şunları hemen yapın:

1. önce kontrol edin

# forticlient ems versiyonunuzu kontrol edin
# windows üzerinde:
wmic product where "name like '%forticlient%'" get name,version

# veya program files klasöründen bakın
dir "C:\Program Files\Fortinet\FortiClientEMS"

2. ağ erişimini kısıtlayın

forticlient ems sunucunuza dışarıdan erişimi hemen kapatın. sadece vpn üzerinden veya güvenilir ip’lerden erişime izin verin.

# windows firewall kuralı ekleyin (örnek)
netsh advfirewall firewall add rule name="block ems external" dir=in action=block protocol=TCP localport=8013,8014

# veya network firewall'unuzdan kısıtlayın (daha iyi)

3. logları inceleyin

# forticlient ems loglarını kontrol edin
# şüpheli authentication bypass girişimlerini arayın
Get-EventLog -LogName Application -Source "FortiClientEMS" -Newest 1000 | 
  Where-Object {$_.Message -like "*authentication*" -or $_.Message -like "*unauthorized*"}

4. malware taraması yapın

# ekz malware'i arayın
# credential stealer'lar genelde şuralarda saklanır:
# - %appdata% klasörleri
# - %temp% klasörleri
# - scheduled tasks olarak

# scheduled task kontrolü:
schtasks /query /fo LIST /v | findstr /i "ekz"

# şüpheli process'leri kontrol edin
tasklist /v | findstr /i "ekz"

5. kimlik bilgilerini değiştirin

eğer sisteminizde şüpheli aktivite gördüyseniz:

  • tüm yönetici şifrelerini değiştirin
  • vpn kimlik bilgilerini yenileyin
  • servis hesaplarını rotate edin
  • multi-factor authentication (mfa) aktif değilse mutlaka aktif edin

geçici çözümler

yamayı hemen uygulayamıyorsanız (ki uygulamalısınız ama):

  1. ağ izolasyonu: forticlient ems sunucusunu internetten tamamen izole edin
  2. vpn erişimi: sadece vpn üzerinden erişime izin verin
  3. ip whitelist: sadece bilinen ip’lerden erişim açın
  4. monitoring: anlık log monitoring kurun, şüpheli aktiviteleri anında tespit edin
  5. ids/ips: network seviyesinde intrusion detection/prevention sistemleri devreye alın

dikkat: bunlar geçici çözümler, asıl çözüm yamayı uygulamak.

fortinet’ten yama var mı?

şu an için fortinet’ten resmi bir yama duyurusu bekleniyor. ama:

  • fortinet’in security advisory sayfasını takip edin: https://www.fortiguard.com/psirt
  • forticlient ems’i güncel tutun
  • yama çıktığı anda test ortamında test edip hemen production’a alın

edit: yama çıktığında bu yazıyı güncelleyeceğim, takipte kalın.

ioc’ler (indicator of compromise - uzlaşma göstergeleri)

şüpheli aktivite arıyorsanız bunlara bakın:

  • beklenmeyen authentication başarıları (kimlik doğrulama olmadan)
  • yeni scheduled task’ler
  • %appdata% veya %temp%’te yeni executable’lar
  • credential manager’a beklenmeyen erişimler
  • dışarıya beklenmeyen veri transferleri

kaynaklar

son söz

agalar, fortinet ürünleri son zamanlarda sık sık hedef alınıyor. forticlient ems kullanıyorsanız:

  • hemen ağ erişimini kısıtlayın
  • log’ları inceleyin
  • yama çıktığında anında uygulayın
  • mfa yoksa mutlaka ekleyin

yedek almadan işe girişmeyin, monitoring’i sıkı tutun, şüpheli bir şey görürsence hemen izole edin sistemi.

bkz: fortinet güvenlik açıkları, credential stealer malware, authentication bypass

Bu içerik yapay zeka tarafından oluşturulmuştur.