Saldırının Genel Çerçevesi
Fortinet, FortiClientEMS ürünlerinde kimlik doğrulaması olmadan SQL komutlarının çalıştırılmasına olanak tanıyan kritik bir SQL Injection açığını (CVE-2026-21643) kapattı. Bu zafiyet, kimlik doğrulaması yapılmamış saldırganların özel hazırlanmış HTTP istekleriyle yetkisiz komut veya kod çalıştırmasına imkan sağlıyor. CVSS puanı 9.1 olarak belirlenen bu güvenlik açığı, FortiClientEMS 7.4.4 sürümünde bulunuyor ve kullanıcıların 7.4.5 veya üzeri sürümlere güncelleme yapmaları tavsiye ediliyor.
Hangi Sistemler Risk Altında?
FortiClientEMS 7.4.4 sürümü bu SQL Injection açığından etkilenirken, 7.2 ve 8.0 sürümleri etkilenmiyor. Ayrıca, Fortinet’in FortiOS, FortiManager, FortiAnalyzer, FortiProxy ve FortiWeb ürünlerinde de (CVE-2026-24858) kritik bir başka zafiyet tespit edildi. Bu zafiyet, FortiCloud hesabı ve kayıtlı cihazı olan saldırganların, FortiCloud SSO kimlik doğrulaması etkin cihazlarda farklı hesaplara yetkisiz erişim sağlamasına olanak tanıyor. Fortinet, bu açığın kötü niyetli aktörler tarafından yerel yönetici hesapları oluşturmak, VPN erişimi için yapılandırma değiştirmek ve güvenlik duvarı ayarlarını dışa aktarmak için aktif şekilde kullanıldığını doğruladı.
Saldırı Zinciri ve Teknik Detaylar
Bu iki zafiyetin istismar senaryosu şu şekilde özetlenebilir:
- Başlangıç: Saldırgan, kimlik doğrulaması olmadan FortiClientEMS SQL sorgularına kötü amaçlı kod enjekte eder.
- Yetkisiz Kod Çalıştırma: SQL Injection yoluyla sistemde komut çalıştırarak yerel yönetici yetkileri elde eder.
- FortiCloud SSO İstismarı: Kayıtlı cihazlar üzerinden farklı hesaplara erişim sağlayarak lateral hareket gerçekleştirir.
Bu süreçte saldırganlar, VPN erişim ayarlarını değiştirerek ağ segmentasyonunu aşabilir ve güvenlik duvarı yapılandırmalarını dışa aktararak ağ içi hareket kabiliyetini artırabilir.
Sistem Yöneticileri ve SOC Ekipleri İçin Öneriler
- FortiClientEMS ürünlerini 7.4.5 veya üzeri sürümlere güncelleyin.
- FortiOS ve ilgili Fortinet ürünlerinde yayımlanan yamaları derhal uygulayın.
- SQL Injection saldırılarını tespit etmek için SIEM sistemlerinde özel SQL sorgu anormalliklerini izleyin.
- EDR çözümlerinde FortiClientEMS ve FortiCloud bileşenlerine yönelik davranışsal analiz kuralları oluşturun.
- FortiCloud SSO erişimlerini çok faktörlü kimlik doğrulama (MFA) ile destekleyin.
- Ağ segmentasyonunu güçlendirerek kritik yönetim arayüzlerine erişimi kısıtlayın.
- Güvenlik duvarı ve VPN yapılandırmalarında olağan dışı değişiklikleri düzenli olarak denetleyin.
- Olay müdahale (incident response) planlarını Fortinet ürünlerine özgü zafiyet senaryolarını içerecek şekilde güncelleyin.
Kurumsal Ortamlarda Olası Senaryo
Örneğin, bir finans kurumunda FortiClientEMS 7.4.4 sürümü kullanılıyorsa, saldırganlar kimlik doğrulaması olmadan SQL Injection yoluyla sistemde komut çalıştırabilir. Bu durum, yerel yönetici hesapları oluşturularak VPN erişimi sağlanması ve güvenlik duvarı kurallarının değiştirilmesiyle kurumun iç ağına sızmaya olanak tanır. Ayrıca FortiCloud SSO açığı sayesinde, saldırgan farklı kullanıcı hesaplarına erişerek veri sızıntısı ve lateral hareket gerçekleştirebilir. Bu tür saldırılar, finans sektöründe hem veri gizliliği hem de operasyonel süreklilik açısından ciddi riskler oluşturur.
Teknik Özet ve Kaynaklar
- Zafiyetler: CVE-2026-21643 (FortiClientEMS SQL Injection), CVE-2026-24858 (FortiCloud SSO yetkisiz erişim)
- Hedef Sistemler: FortiClientEMS 7.4.4, FortiOS, FortiManager, FortiAnalyzer, FortiProxy, FortiWeb
- Saldırı Zinciri: SQL Injection ile yetkisiz kod çalıştırma → Yerel yönetici hesabı oluşturma → VPN ve firewall yapılandırma değişiklikleri → FortiCloud SSO ile lateral hareket
- Önerilen Savunma: Güncelleme ve yama yönetimi, MFA kullanımı, ağ segmentasyonu, SIEM ve EDR ile anomali tespiti, düzenli konfigürasyon denetimleri
Daha fazla bilgi için NVD kayıtları incelenebilir: CVE-2026-21643, CVE-2026-24858.