Fortinet advirtió el sábado que una vulnerabilidad crítica de día cero en su plataforma FortiClient Endpoint Management Server está bajo explotación activa.
La vulnerabilidad del control de acceso inadecuado, rastreada como CVE-2026-35616permite a un atacante no autenticado ejecutar código o comandos no autorizados mediante solicitudes especialmente diseñadas.
Fortinet instó a los clientes a instalar inmediatamente una revisión de emergencia para FortiClient EMS 7.4.5 y 7.4.6. en un aviso emitido el sábado. La próxima versión FortiClient EMS 7.4.7 incluirá una versión parcheada, pero mientras tanto, las revisiones de emergencia deberían resolver el problema, según la compañía.
La empresa no especificó cuánto tiempo tardaría en lanzarse la versión 7.4.7.
Los investigadores de la firma de investigación de vulnerabilidades Defused informaron el problema a Fortinet después de detectar actividad de explotación en estado salvaje a través de sus honeypots la semana pasada. según una publicación en LinkedIn.
«Esta vulnerabilidad permite a los atacantes eludir la autenticación falsificando un encabezado de acceso específico y, a través de él, obtener acceso al back-end», dijo el fundador y director ejecutivo de Defused, Simo Kohonen, a Cybersecurity Dive.
Fortinet reconoció la vulnerabilidad el viernes y publicó el aviso el sábado. Dijo Kohonen. Fortinet también agradeció al investigador Nguyen Duc Anh por el trabajo adicional para revelar la falla.
La Fundación Shadowserver advirtió el domingo que CVE-2026-35616, así como CVE-2026-21643una falla de neutralización inadecuada de elementos especiales en FortiClient EMS 7.4.4, son ambos siendo explotados en la naturaleza.
La Agencia de Seguridad de Infraestructura y Ciberseguridad agregó el lunes CVE-2026-35616 a su Vulnerabilidades explotadas conocidas catalogar.
Los investigadores de watchTowr advirtieron que la rápida sucesión de fallas de seguridad, combinada con el fin de semana festivo de Pascua, podría hacer que la mitigación de las vulnerabilidades de ForiClient sea más desafiante.
«Esta es la segunda vulnerabilidad no autenticada en FortiClient EMS en cuestión de semanas», dijo el director ejecutivo de watchTowr, Benjamin Harris, a Cybersecurity Dive. «Entonces, una vez más, las organizaciones que ejecutan FortiClient EMS y están expuestas a Internet deberían tratar esto como una situación de respuesta de emergencia, no como algo que se pueda resolver el martes por la mañana».
CVE-2026-21643 fue revelado originalmente en febrero por el departamento de seguridad de productos de Fortinet. equipo. Defused el 28 de marzo dijo que había detectó que la vulnerabilidad estaba bajo explotación activa desde el 24 de marzo.
Nota del editor: Actualizaciones con nueva información de CISA.
El servidor de sombras es rastreando alrededor de 2,000 Instancias expuestas de FortiClient EMS en todo el mundo, siendo Estados Unidos y Alemania los principales países visibles.
Fuente