Atacantes exploraram vulnerabilidade crítica zero-day do FortiClient EMS 

A falha, identificada como CVE-2026-35616 , é uma vulnerabilidade de controle de acesso inadequado que permite que invasores não autenticados executem código ou comandos não autorizados por meio de solicitações manipuladas. Ela recebeu uma classificação crítica de 9,1 no CVSS e, além de recomendar que os clientes instalem a correção para o FortiClient EMS 7.4.5 e 7.4.6, o fornecedor do firewall também alertou que “observou essa vulnerabilidade sendo explorada em ataques reais”.

Este produto permite que as empresas gerenciem e protejam centralmente computadores remotos e de escritório, e essa vulnerabilidade é a segunda falha crítica do FortiClient a ser explorada nas últimas semanas. No final de março, pesquisadores de segurança alertaram que a CVE-2026-21643 , que também permite a execução remota de código sem autenticação, estava sendo ativamente explorada.

Na segunda-feira, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou a falha de segurança do FortiClient EMS ao seu Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) e estabeleceu um prazo até quinta-feira para que todas as agências federais apliquem a correção. 

O The Register solicitou à Fortinet mais detalhes sobre quem estava explorando a falha de segurança e quantos clientes foram afetados. Embora a empresa de software de segurança tenha se recusado a responder às nossas perguntas específicas, um porta-voz da Fortinet disse ao The Register que “nossos esforços de resposta e remediação do PSIRT continuam em andamento” e que “estamos nos comunicando diretamente com os clientes para orientá-los sobre as ações necessárias”.

No passado, criminosos apoiados por governos da Rússia e da China atacaram instâncias vulneráveis ​​do FortiClient EMS.

A boa notícia, segundo Caitlin Condon, vice-presidente de pesquisa de segurança da VulnCheck, é que “o FortiClient EMS tem uma presença relativamente pequena na internet”. Condon disse ao The Register que a análise de sua equipe observou cerca de 100 instâncias expostas à internet.

O CEO da WatchTowr, Benjamin Harris, nos disse no fim de semana que a infraestrutura honeypot de sua empresa de segurança capturou pela primeira vez invasores que tentavam explorar a vulnerabilidade CVE-2026-35616 em 31 de março.

Na segunda-feira, Ryan Dewhurst, chefe de inteligência proativa de ameaças da watchTowr, disse ao The Register que o comportamento inicial “representava uma exploração cuidadosa, ‘lenta e discreta'”.

Mas ele acrescentou que a situação se agravou rapidamente. “Como vemos regularmente quando vulnerabilidades zero-day são descobertas, a exploração deixa de ser discreta e direcionada, passando a ser feita de forma oportunista e indiscriminada, antes mesmo que as correções comecem a ser aplicadas”, disse Dewhurst. “Já dissemos isso antes e repetiremos quando a exploração se tornar desenfreada: o melhor momento para aplicar a correção foi ontem, e o segundo melhor momento é agora.” 

Por Jessica Lyons publicado em The Register