Na początku kwietnia 2026 roku Fortinet wydał awaryjną łatkę dla CVE-2026-35616 — krytycznej luki w oprogramowaniu FortiClient Enterprise Management Server (EMS). Podatność otrzymała wynik CVSS wynoszący 9.1 na 10, a agencja CISA już 6 kwietnia dodała ją do swojego katalogu aktywnie eksploatowanych podatności (KEV), nakazując federalnym agencjom USA wdrożenie poprawki do 9 kwietnia 2026 roku.
Na czym polega luka?
CVE-2026-35616 to błąd klasy improper access control (nieodpowiednia kontrola dostępu, CWE-284) w FortiClient EMS. W praktyce oznacza to, że atakujący bez żadnego logowania może wysłać specjalnie spreparowane żądanie do API serwera i uzyskać uprawnienia umożliwiające wykonanie dowolnego kodu lub poleceń na systemie. Firma Defused, która jako pierwsza odkryła podatność i zgłosiła ją odpowiedzialnie do Fortinetu, określiła ją jako „całkowite ominięcie mechanizmów uwierzytelniania i autoryzacji”.
FortiClient EMS to centralny serwer zarządzania, który administrator sieci korporacyjnej wykorzystuje do wdrażania polityk bezpieczeństwa na setkach lub tysiącach stacji roboczych jednocześnie. Udany atak na taki serwer daje przestępcom doskonały punkt wejścia do całej infrastruktury — umożliwia instalację złośliwego oprogramowania, kradzież danych lub ruch lateralny po sieci.
Kogo dotyczy problem?
Podatne są wersje FortiClient EMS 7.4.5 i 7.4.6. Wersja 7.2 nie jest dotknięta problemem. Organizacja Shadowserver Foundation zidentyfikowała ponad 2000 publicznie dostępnych instancji FortiClient EMS w internecie, z czego zdecydowana większość zlokalizowana jest w USA i Niemczech. Pierwsze próby eksploatacji zostały odnotowane przez honeypoty watchTowr już 31 marca 2026 roku — czyli zanim producent zdążył wydać oficjalną poprawkę.
Jak się zabezpieczyć?
Fortinet udostępnił hotfixy dla wersji 7.4.5 i 7.4.6 — są dostępne w oficjalnej dokumentacji producenta. Pełna poprawka trafi do wersji FortiClient EMS 7.4.7. Administratorzy powinni podjąć następujące działania:
- Zainstaluj hotfix natychmiast — podatność jest aktywnie eksploatowana, każda godzina zwłoki zwiększa ryzyko.
- Sprawdź logi serwera pod kątem podejrzanych żądań API, zwłaszcza z zewnętrznych adresów IP, od 31 marca 2026 roku.
- Ogranicz dostęp do interfejsu EMS wyłącznie do zaufanych adresów IP i sieci wewnętrznych — nie powinien być dostępny bezpośrednio z internetu.
- Monitoruj powiadomienia CISA KEV — lista znanych eksploatowanych podatności to jedno z najlepszych źródeł informacji o aktywnych zagrożeniach.
Podsumowanie
CVE-2026-35616 to kolejny przykład, jak krytyczny element infrastruktury korporacyjnej — serwer zarządzający bezpieczeństwem stacji roboczych — sam może stać się najsłabszym ogniwem. Podatności pre-authentication w produktach klasy enterprise są wyjątkowo niebezpieczne, bo nie wymagają od atakującego żadnych danych dostępowych ani wcześniejszej obecności w sieci. Jeśli Twoja organizacja korzysta z FortiClient EMS w wersji 7.4.5 lub 7.4.6, zaktualizowanie serwera powinno być priorytetem na dziś.