FortiClient EMS'de saldırganların zaten vahşi doğada saldırdığı bir sıfır gün güvenlik açığı var. Bu, önceden kimlik doğrulaması yapmadan kötü amaçlı kod eklemenize ve yürütmenize olanak tanır.
Reklamdan sonra devamını okuyun
Üretici Fortinet artık bir güvenlik bildiriminde bu konuda uyarıda bulunuyor. Buna göre, FortiClient EMS'nin erişim kontrollerinde, önceden kayıt olmadan saldırganların manipüle edilmiş istekler kullanarak yetkisiz kod veya komutlar enjekte etmesine ve yürütmesine olanak tanıyan bir güvenlik açığı vardır (CVE-2026-35616, CVSS) 9.8risk”kritik“). Fortinet'in bildirdiğine göre, kötü niyetli aktörlerin internette zaten yaptığı da tam olarak bu. Fortinet, saldırıların türü ve kapsamı gibi konularda herhangi bir ayrıntı sunmuyor. Ayrıca başarılı saldırılara ilişkin kanıt eksikliği de var (Uzlaşma Göstergeleri, IOC).
Şimdilik düzeltme, düzenli güncelleme devam ediyor
Fortinet, güvenlik açığı bulunan FortiClient EMS yazılımına sahip BT yöneticilerine FortiClient EMS 7.4.5 ve 7.4.6 düzeltmelerini hızlı bir şekilde yüklemelerini şiddetle tavsiye ediyor. Üretici bunun için iki talimat sağlar: birincisi FortiClient EMS 7.4.5 düzeltmesi için ve ardından FortiClient EMS 7.4.6 için.
Fortinet ayrıca düzeltmeyi de içermesi gereken FortiClient EMS 7.4.7 sürümünü de duyurdu. O zamana kadar Fortinet'e göre yukarıda belirtilen düzeltmeler, şirketin temin ettiği gibi güvenlik açığının kötüye kullanılmasını önlemek için tamamen yeterli. FortiClient EMS yalnızca 7.4 sürümlerinde etkilendiğinden 7.2 geliştirme dalı bu güvenlik açığından etkilenmez.
Fortinet'in güvenlik duyurusunu aceleyle hazırladığı anlaşılıyor. CVE güvenlik açığı girişinin aksine, özette yalnızca 9,1 CVSS puanı belirtiliyor ve bu da hala kritik bir güvenlik açığına işaret ediyor. Ayrıca bu güvenlik açığından yararlanmanın söz konusu olmadığı belirtiliyor; ancak Fortinet bunu metnin metninde açıkça belirtiyor.
BT yöneticilerinin hala Paskalya haftasonunda çalışması ve güncellemeleri yüklemesi gerekiyor. Ayrıca bu fırsatı değerlendirerek sertifikalarının D-Trust tarafından geri çekilip çekilmediğini ve ayrıca Paskalya Pazartesi günü saat 17.00'ye kadar değiştirilmesinin gerekip gerekmediğini kontrol etmelidirler.
Reklamdan sonra devamını okuyun
(DMK)
Bir yanıt yazın