Fortinet ha audaz parches fuera de costado para una defecto de seguridad crítica que afecta a FortiClient EMS y que, según dijo, ha sido explotada en la naturaleza.
La vulnerabilidad, rastreada como CVE-2026-35616 (puntuación CVSS: 9,1), se ha descrito como una omisión de paso a la API de autenticación previa que conduce a una ascenso de privilegios.
“Una vulnerabilidad de control de paso inadecuado (CWE-284) en FortiClient EMS puede permitir que un atacante no autenticado ejecute código o comandos no autorizados a través de solicitudes diseñadas”, dijo Fortinet en un aviso del sábado.
El problema afecta a las versiones 7.4.5 a 7.4.6 de FortiClient EMS. Se calma que esté completamente parcheado en la próxima lectura 7.4.7, aunque la compañía ha audaz una revisión para solucionarlo.
A Simo Kohonen de Defused Cyber y Nguyen Duc Anh se les atribuye el descubrimiento y reporte de la defecto. En una publicación en X, Defused Cyber dijo que observó una explotación de día cero de CVE-2026-35616 a principios de esta semana. Según watchTowr, los intentos de explotación contra CVE-2026-35616 se registraron por primera vez en sus honeypots el 31 de marzo de 2026.
La explotación exitosa de la defecto podría permitir a un atacante no autenticado eludir las protecciones de autorización y autenticación de API y ejecutar códigos o comandos maliciosos a través de solicitudes diseñadas.
“Fortinet ha observado que esto se explota en la naturaleza e insta a los clientes vulnerables a instalar la revisión para FortiClient EMS 7.4.5 y 7.4.6”, añadió la compañía.
El exposición se produce pocos días luego de que otra vulnerabilidad crítica recientemente parcheada en FortiClient EMS (CVE-2026-21643, puntuación CVSS: 9.1) fuera objeto de explotación activa. Actualmente no se sabe si el mismo actor de amenazas está detrás de la explotación de ambas fallas y si se están utilizando como armas juntas.
Dada la compostura de las vulnerabilidades, se recomienda a los usuarios que actualicen su FortiClient EMS a la última lectura lo antaño posible.
“El momento del aumento de la explotación salvaje de este día cero probablemente no sea una coincidencia”, dijo el CEO y fundador de watchTowr, Benjamin Harris, a The Hacker News.
“Los atacantes han demostrado repetidamente que los fines de semana festivos son el mejor momento para interpretar. Los equipos de seguridad están a la porción de sus efectivos, los ingenieros de custodia están distraídos y la ventana entre el compromiso y la detección se extiende de horas a días. La Semana Santa, como cualquier otro día festivo, representa una oportunidad”.
“Lo que es decepcionante es el panorama común. Esta es la segunda vulnerabilidad no autenticada en FortiClient EMS en cuestión de semanas”.
“Entonces, una vez más, las organizaciones que ejecutan FortiClient EMS y están expuestas a Internet deben tratar esto como una situación de respuesta de emergencia, no como poco que se pueda resolver el martes por la mañana. Aplique la revisión. Los atacantes ya tienen una delantera”.
