Fortinet ha lanzado un hotfix de emergencia para CVE-2026-35616, una vulnerabilidad crítica en FortiClient EMS que ya se está explotando. El fallo permite a atacantes no autenticados eludir controles de la API y lograr ejecución de código o comandos en instalaciones afectadas, por lo que parchear de inmediato es prioritario.v
La gestión centralizada de endpoints suele concentrar permisos y visibilidad en un único punto, lo que convierte a este tipo de consolas en un objetivo especialmente atractivo. En ese contexto, un problema de seguridad en Fortinet FortiClient Enterprise Management Server (EMS) puede tener un efecto dominó: desde el control del servidor de administración hasta impactos potenciales sobre flujos de despliegue y operaciones internas de TI.
El incidente gira en torno a CVE-2026-35616, un defecto de control de acceso incorrecto (CWE-284) que afecta a FortiClient EMS 7.4.5 y 7.4.6. El fallo permite a un atacante no autenticado saltarse mecanismos de autenticación y autorización asociados a la API, lo que abre la puerta a realizar acciones que deberían estar restringidas. En escenarios de explotación, el resultado práctico puede ser la ejecución no autorizada de código o comandos mediante solicitudes especialmente manipuladas, elevando el riesgo a un nivel crítico, con una severidad reportada de CVSS 9.1.
La criticidad no se limita a la teoría: la vulnerabilidad se considera explotada activamente, un factor que suele acelerar tanto la creación de pruebas de concepto como la incorporación del fallo a cadenas de intrusión oportunistas. Además, se ha señalado la existencia de intentos de explotación observados en honeypots a finales de marzo de 2026, una señal de que los atacantes podrían estar automatizando el escaneo y la explotación contra objetivos expuestos.
El alcance se vuelve más preocupante cuando se combina con la exposición directa a Internet. Se han identificado más de 2.000 instancias de FortiClient EMS accesibles públicamente, con una concentración destacada en Estados Unidos y Alemania. En infraestructuras donde la consola esté publicada, el riesgo no es solo la intrusión inicial: un atacante que consiga ejecutar comandos en el servidor podría intentar moverse lateralmente, extraer información sensible del entorno de administración o alterar configuraciones que afecten a la postura de seguridad de múltiples equipos.
Como respuesta, Fortinet ha publicado hotfixes específicos para 7.4.5 y 7.4.6, y ha indicado que la corrección quedará integrada en FortiClient EMS 7.4.7. Dado el carácter de explotación activa, la medida más efectiva es aplicar el hotfix correspondiente sin demoras y planificar la actualización a una versión corregida tan pronto como esté disponible en el ciclo habitual de la organización.
En paralelo al parcheo, conviene priorizar acciones defensivas si el servidor de EMS ha estado expuesto: revisar registros y telemetría en busca de indicios de ejecución de comandos anómalos, peticiones sospechosas a endpoints de la API y señales de persistencia. Reducir la superficie de ataque también es clave: cuando sea viable, evitar publicar FortiClient EMS directamente en Internet, limitar el acceso mediante VPN o controles de red, y reforzar la monitorización de actividad administrativa.
El contexto reciente añade presión adicional, ya que CVE-2026-21643 se ha mencionado como otra vulnerabilidad crítica de FortiClient EMS también bajo explotación activa. Aunque no está confirmado si los mismos actores están detrás de ambos fallos o si se combinan en campañas, la coincidencia temporal subraya la necesidad de tratar la consola de administración como un activo de alta criticidad, con ciclos de actualización ágiles y una política estricta de exposición y control de accesos.
Más información
- The Hacker News – Fortinet Patches Actively Exploited CVE-2026-35616 in FortiClient EMS https://thehackernews.com/2026/04/fortinet-patches-actively-exploited-cve.html?utm_source=openai
- BleepingComputer – New FortiClient EMS flaw exploited in attacks, emergency patch released https://www.bleepingcomputer.com/news/security/new-fortinet-forticlient-ems-flaw-cve-2026-35616-exploited-in-attacks/amp/
- Fortinet FortiGuard PSIRT – API authentication and authorization bypass https://fortiguard.fortinet.com/psirt/FG-IR-26-099
Deja una respuesta