Fortinet ha publicado parches fuera de banda para una vulnerabilidad crítica en FortiClient EMS que, según la compañía, ya está siendo explotada activamente. La falla, identificada como CVE-2026-35616 (puntuación CVSS: 9.1), se describe como una omisión de acceso a la API previa a la autenticación que lleva a una escalada de privilegios.
En un aviso emitido el sábado, Fortinet explicó que se trata de un problema de control de acceso inadecuado (CWE-284) que permite a un atacante no autenticado ejecutar código o comandos no autorizados a través de solicitudes manipuladas. La falla afecta a las versiones 7.4.5 a 7.4.6 de FortiClient EMS; la solución completa llegará con la versión 7.4.7, aunque ya se ha lanzado un hotfix.
Simo Kohonen, de Defused Cyber, y Nguyen Duc Anh fueron reconocidos por descubrir y reportar la vulnerabilidad. En una publicación en X, Defused Cyber indicó que observó una explotación de día cero de CVE-2026-35616 a principios de esta semana. Según watchTowr, los primeros intentos de explotación contra la falla se registraron en sus honeypots el 31 de marzo de 2026.
La explotación exitosa permite a un atacante no autenticado eludir las protecciones de autenticación y autorización de la API, ejecutando código malicioso o comandos mediante peticiones manipuladas. Fortinet instó a los clientes vulnerables a instalar el hotfix de inmediato.
Este anuncio llega pocos días después de que otra vulnerabilidad crítica recién parcheada en FortiClient EMS (CVE-2026-21643, CVSS 9.1) comenzara a ser explotada activamente. No se sabe si el mismo actor de amenazas está detrás de ambas fallas ni si se están utilizando en conjunto.
Dada la gravedad, se recomienda actualizar FortiClient EMS a la versión más reciente lo antes posible. Benjamin Harris, CEO de watchTowr, comentó: 'La sincronización de la explotación en la naturaleza de este día cero probablemente no sea casualidad. Los atacantes han demostrado repetidamente que los fines de semana festivos son el mejor momento para actuar. Los equipos de seguridad están con personal reducido y la ventana entre la detección y el compromiso se alarga. La Semana Santa, como cualquier otro feriado, representa una oportunidad'.
Es decepcionante ver el panorama general. Esta es la segunda vulnerabilidad no autenticada en FortiClient EMS en cuestión de semanas. Las organizaciones que ejecutan FortiClient EMS expuesto a Internet deben tratarlo como una respuesta de emergencia. Aplica el hotfix: los atacantes ya tienen ventaja.
Actualización
El 6 de abril de 2026, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó CVE-2026-35616 a su catálogo de vulnerabilidades explotadas conocidas (KEV), exigiendo a las agencias del Poder Ejecutivo Civil Federal (FCEB) aplicar las correcciones necesarias antes del 9 de abril de 2026.
