FortiClient EMS'de saldırganların hali hazırda oluşturduğu bir sıfır gün güvenlik açığı mevcut. Bu, önceden kimlik doğrulaması yapılmadan kötü amaçlı kodların enjekte edilmesine ve çalıştırılmasına olanak tanır.
Duyurudan sonra devamını okuyun
Üretici Fortinet artık bir güvenlik danışma belgesinde bu konuda uyarıyor. Sonuç olarak FortiClient EMS'nin erişim kontrollerinde, saldırganların önceden kayıt olmadan manipüle edilmiş istekler kullanarak yetkisiz kod veya komutlar enjekte etmesine ve yürütmesine olanak tanıyan bir güvenlik açığı vardır (CVE-2026-35616, CVSS) 9.8risk”eleştirmen“). Fortinet'in de belirttiği gibi, kötü aktörlerin internette zaten yaptığı da tam olarak bu. Fortinet, saldırıların türü ve kapsamı gibi konularda herhangi bir ayrıntı sunmuyor. Ayrıca başarılı saldırılara ilişkin kanıt eksikliği de var (Uzlaşma Göstergeleri, IOC).
Şimdilik düzeltme, düzenli güncelleme devam ediyor
Fortinet, güvenlik açığı bulunan FortiClient EMS yazılımına sahip BT yöneticilerinin FortiClient EMS 7.4.5 ve 7.4.6 düzeltmelerini hızlı bir şekilde yüklemelerini şiddetle tavsiye ediyor. Üretici bu amaç için iki talimat sağlar: Biri FortiClient EMS 7.4.5 düzeltmesi için, diğeri FortiClient EMS 7.4.6 için.
Fortinet ayrıca düzeltmeyi de içermesi gereken FortiClient EMS 7.4.7 sürümünü de duyurdu. Fortinet'e göre o zamana kadar yukarıda belirtilen düzeltmeler, güvenlik açığının kötüye kullanılmasını önlemek için tamamen yeterli olacak. FortiClient EMS yalnızca 7.4 sürümlerinde etkileniyor, dolayısıyla 7.2 geliştirme dalı bu güvenlik açığına karşı savunmasız değil.
Görünüşe göre Fortinet güvenlik duyurusunu aceleyle hazırladı. CVE güvenlik açığı girişinin aksine, özette yalnızca 9,1 CVSS puanı belirtiliyor ve bu da hala kritik bir güvenlik açığına işaret ediyor. Ayrıca, Fortinet'in metninde bunu açıkça belirtmesine rağmen, güvenlik açığına yönelik herhangi bir istismarın bulunmadığı da belirtiliyor.
BT yöneticilerinin hala Paskalya hafta sonu boyunca çalışmaları ve güncellemeleri yüklemeleri gerekiyor. Ayrıca bu fırsatı değerlendirerek sertifikalarının D-Trust tarafından geri çekilip çekilmediğini ve Paskalya Pazartesi günü saat 17:00'ye kadar yenilenmesi gerekip gerekmediğini kontrol etmelidirler.
Duyurudan sonra devamını okuyun
(Bilmiyorum)
Bir yanıt yazın