La vulnerabilidad permite bypass de autenticación API sin credenciales. Segundo fallo crítico en FortiClient EMS explotado en semanas; más de 2,000 instancias expuestas detectadas globalmente.
Fortinet confirmó este sábado la explotación activa de una vulnerabilidad crítica en FortiClient Enterprise Management Server (EMS), trazada como CVE-2026-35616 con un CVSS de 9.1. El fallo, clasificado como un bypass de autenticación API pre-autenticación, permite a atacantes no autenticados ejecutar código arbitrario o comandos en sistemas vulnerables mediante solicitudes especialmente diseñadas. La compañía publicó un advisory de emergencia confirmando que el defecto ya está siendo explotado en el wild y urgiendo a los clientes afectados a instalar el hotfix de inmediato.
El defecto de control de acceso impropio (CWE-284) reside en la capa API del servidor de gestión de endpoints de Fortinet. Afecta exclusivamente a las versiones 7.4.5 y 7.4.6 de FortiClient EMS, mientras que la rama 7.2.x permanece indemne. La explotación exitosa no requiere autenticación previa, interacción del usuario ni privilegios elevados, lo que lo convierte en un objetivo particularmente atractivo para actores de amenazas que buscan comprometer infraestructuras corporativas expuestas a internet.
Fortinet ha liberado hotfixes documentados en las notas de versión oficiales para ambas versiones afectadas, mientras la versión 7.4.7 actualmente en desarrollo incluirá la corrección permanente.
La vulnerabilidad fue descubierta por Simo Kohonen de la firma de inteligencia de amenazas Defused Cyber y el investigador independiente Nguyen Duc Anh. Defused observó explotación activa del zero-day a principios de esta semana antes de reportarlo a Fortinet bajo protocolos de divulgación responsable. Según datos de watchTowr, los primeros intentos de explotación contra CVE-2026-35616 fueron registrados en sus honeypots el 31 de marzo, lo que sugiere que los atacantes ya habían identificado y comenzado a weaponizar el defecto antes de su revelación pública.
La organización de vigilancia Shadowserver ha detectado más de 2,000 instancias de FortiClient EMS expuestas en internet, con concentraciones significativas en Estados Unidos y Alemania. Esta superficie de ataque ampliada amplifica el riesgo para organizaciones que mantienen interfaces de gestión accesibles desde redes no confiables. El vector de ataque es de red, la complejidad es baja y el impacto abarca confidencialidad, integridad y disponibilidad, factores que explican la calificación cercana al máximo en la escala CVSS.
Este incidente representa el segundo zero-day crítico en FortiClient EMS explotado activamente en cuestión de semanas. El CVE-2026-21643, también con CVSS 9.1, fue reportado la semana anterior y sufrió explotación activa similar. No está confirmado si el mismo actor de amenazas está detrás de ambas campañas ni si los defectos están siendo combinados en cadenas de ataque coordinadas.
Benjamin Harris, CEO de watchTowr, señaló que el timing de la explotación coincidiendo con el fin de semana de Semana Santa, no es casual: los equipos de seguridad operan con efectivos reducidos y la ventana entre compromiso y detección se extiende de horas a días.
Las organizaciones que ejecutan** FortiClient EMS** 7.4.5 o 7.4.6 deben aplicar el hotfix inmediatamente. Adicionalmente, se recomienda restringir el acceso a la interfaz de gestión EMS en el perímetro de red y monitorear los logs en busca de actividad API anómala, particularmente solicitudes no autenticadas que puedan indicar intentos de explotación previos.
FUENTE ORIGINAL
Fortinet PSIRT↗CURADO POR
Alejandro Vargas