La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA)
añadió la vulnerabilidad CVE-2026-35616, una vulnerabilidad crítica de control de acceso inadecuado en Fortinet
FortiClient Enterprise Management Server (EMS), a su catálogo de
Vulnerabilidades Explotadas Conocidas (KEV) el 6 de abril de 2026, obligando a
las agencias federales a solucionarla antes del 9 de abril de 2026.
CVE-2026-35616 (CVSS de 9.1) es una vulnerabilidad de gravedad crítica basada
en CWE-284 (Control de Acceso Inadecuado).
La vulnerabilidad afecta específicamente a las versiones 7.4.5 y 7.4.6 de
FortiClient EMS, mientras que la versión 7.2 no se ve afectada.
La vulnerabilidad permite eludir el acceso a la API sin autenticación previa,
posibilitando el escalamiento de privilegios sin credenciales válidas. Según
el aviso oficial de
Fortinet (FG-IR-26-099), la vulnerabilidad permite a un atacante no autenticado eludir las
protecciones de autenticación y autorización de la API y ejecutar código o
comandos maliciosos mediante solicitudes HTTP especialmente diseñadas.
Esto otorga a los ciberdelincuentes una primitiva de
ejecución remota de código (RCE) sin autenticación contra
implementaciones de EMS expuestas. Una explotación exitosa permite a un
atacante:
-
Eludir los controles de autenticación y autorización de la API sin
credenciales. -
Ejecutar código o comandos no autorizados de forma remota mediante
solicitudes manipuladas. -
Obtener acceso inicial a la red objetivo, lo que permite el movimiento
lateral o la implementación de malware. -
Escalar privilegios dentro del entorno EMS, comprometiendo a los clientes de
punto final conectados.
La explotación activa de esta vulnerabilidad Zero-Day se registró por primera
vez el 31 de marzo de 2026, cuando watchTowr detectó intentos de explotación
contra sus honeypots. Los investigadores de seguridad Simo Kohonen, de Defused
Cyber, y Nguyen Duc Anh fueron reconocidos por descubrir y reportar
responsablemente la falla.
Fortinet confirmó la explotación en la práctica en su aviso de emergencia
del fin de semana, indicando que
«insta a los clientes vulnerables a instalar el parche para FortiClient
EMS 7.4.5 y 7.4.6».
La rápida confirmación de Fortinet tras la
divulgación pública de Defused Cyber
subraya la gravedad e inmediatez de la amenaza. Esta es la segunda
vulnerabilidad crítica de EMS explotada en cuestión de semanas, lo que genera
preocupación sobre la superficie de ataque expuesta por las implementaciones
de FortiClient EMS con acceso a internet.
La Fundación
Shadowserver ha emitido una advertencia
urgente a los administradores de FortiClient Enterprise Management Server
(EMS). Han identificado más de 2.000 instancias accesibles públicamente en
todo el mundo, y se ha confirmado que dos de ellas están siendo explotadas
activamente debido a vulnerabilidades críticas de ejecución remota de código
(RCE) sin autenticación.
Este script
permite detectar la vulnerabilidad.
Fuente:
CyberSecurityNews