Fortinet poinformował o wykryciu krytycznej podatności w produkcie FortiClient EMS, która jest aktywnie wykorzystywana w atakach. Luka umożliwia nieautoryzowanemu atakującemu na zdalne wykonanie kodu. W związku z tym wydano awaryjną aktualizację.
Opis podatności
CVE-2026-35616 — CVSS 9.1 — krytyczna podatność w FortiClient EMS, umożliwiająca nieuwierzytelnionemu atakującemu na zdalne obejście mechanizmów uwierzytelniania i autoryzacji API. W praktyce podatność umożliwia zdalne wykonanie kodu lub poleceń bez konieczności uwierzytelnienia, co może prowadzić do pełnego przejęcia kontroli nad serwerem EMS, manipulacji zarządzanymi endpointami (np. politykami bezpieczeństwa) oraz dalszego ruchu w infrastrukturze.
Zalecane działania
Zaleca się niezwłoczną instalację poprawek dla FortiClient EMS w wersjach 7.4.5 i 7.4.6. Ponadto rekomendowanym jest, aby ograniczyć dostęp do EMS wyłącznie do zaufanych sieci.
Atakujący aktywnie wykorzystywali podatność już w weekend. Z tego względu zaleca się przegląd logów (API, HTTP, administracyjne) pod kątem anomalii, jak również samych kont administracyjnych i konfiguracji w zakresie wprowadzenia nieuprawnionych zmian. W przypadku podejrzenia naruszenia, zaleca się zrotować poświadczenia.
Źródła:
[1] https://www.cisa.gov/news-events/alerts/2026/04/06/cisa-adds-one-known-exploited-vulnerability-catalog
[2] https://fortiguard.fortinet.com/psirt/FG-IR-26-099
[3] https://docs.fortinet.com/document/forticlient/7.4.5/ems-release-notes/832484