Fortinet ha lanzado parches fuera de banda para una falla de seguridad crítica que afecta a FortiClient EMS y que, según dijo, ha sido explotada en la naturaleza.
La vulnerabilidad, rastreada como CVE-2026-35616 (puntuación CVSS: 9,1), se ha descrito como una omisión de acceso a la API de autenticación previa que conduce a una escalada de privilegios.
«Una vulnerabilidad de control de acceso inadecuado [CWE-284] en FortiClient EMS puede permitir que un atacante no autenticado ejecute código o comandos no autorizados a través de solicitudes diseñadas», Fortinet dicho en un aviso del sábado.
El problema afecta a las versiones 7.4.5 a 7.4.6 de FortiClient EMS. Se espera que esté completamente parcheado en la próxima versión 7.4.7, aunque la compañía ha lanzó una revisión para abordarlo.
A Simo Kohonen de Defused Cyber y Nguyen Duc Anh se les atribuye el descubrimiento y reporte de la falla. En una publicación en X, Cyber desactivado dicho observó la explotación de día cero de CVE-2026-35616 a principios de esta semana. Según watchTowr, los intentos de explotación contra CVE-2026-35616 se registraron por primera vez en sus honeypots el 31 de marzo de 2026.
La explotación exitosa de la falla podría permitir a un atacante no autenticado eludir las protecciones de autorización y autenticación de API y ejecutar códigos o comandos maliciosos a través de solicitudes diseñadas.
«Fortinet ha observado que esto se explota en la naturaleza e insta a los clientes vulnerables a instalar la revisión para FortiClient EMS 7.4.5 y 7.4.6», añadió la compañía.
El desarrollo se produce pocos días después de que otra vulnerabilidad crítica recientemente parcheada en FortiClient EMS (CVE-2026-21643, puntuación CVSS: 9.1) fuera objeto de explotación activa. Actualmente no se sabe si el mismo actor de amenazas está detrás de la explotación de ambas fallas y si se están utilizando como armas juntas.
Dada la gravedad de las vulnerabilidades, se recomienda a los usuarios que actualicen su FortiClient EMS a la última versión lo antes posible.
«El momento del aumento de la explotación salvaje de este día cero probablemente no sea una coincidencia», dijo el CEO y fundador de watchTowr, Benjamin Harris, a The Hacker News.
«Los atacantes han demostrado repetidamente que los fines de semana festivos son el mejor momento para actuar. Los equipos de seguridad están a la mitad de sus efectivos, los ingenieros de guardia están distraídos y la ventana entre el compromiso y la detección se extiende de horas a días. La Semana Santa, como cualquier otro día festivo, representa una oportunidad».
«Lo que es decepcionante es el panorama general. Esta es la segunda vulnerabilidad no autenticada en FortiClient EMS en cuestión de semanas».
«Entonces, una vez más, las organizaciones que ejecutan FortiClient EMS y están expuestas a Internet deben tratar esto como una situación de respuesta de emergencia, no como algo que se pueda resolver el martes por la mañana. Aplique la revisión. Los atacantes ya tienen una ventaja».
