Нов риск за корпоративната сигурност с вече потвърдени атаки
Fortinet публикува извънреден ъпдейт през уикенда за критична уязвимост във FortiClient Enterprise Management Server (EMS), която вече се използва активно в реални атаки.
Уязвимостта, обозначена като CVE-2026-35616, позволява на неавтентикирани атакуващи да изпълняват код или команди чрез специално подготвени заявки – сценарий с изключително висок риск за компрометиране на инфраструктурата.
Техническа същност на уязвимостта
Според първоначалния анализ:
- Тип: Improper Access Control
- Обхват: Pre-authentication API bypass
- Ефект:
- Заобикаляне на автентикация и авторизация
- Remote Code Execution (RCE)
- Достъп: без нужда от идентификационни данни
Откриването е дело на Defused, които съобщават, че уязвимостта вече е била използвана като zero-day преди официалното ѝ разкриване.
Засегнати версии и налични корекции
Уязвими са:
- FortiClient EMS 7.4.5
- FortiClient EMS 7.4.6
Не е засегната:
- версия 7.2
Fortinet вече предоставя:
- Hotfix за 7.4.5
- Hotfix за 7.4.6
- Предстояща версия 7.4.7 с вграден fix
Компанията призовава за незабавно прилагане на актуализациите.
Реален мащаб на заплахата
Според Shadowserver Foundation:
- Над 2000 публично достъпни EMS инстанции са изложени онлайн
- Основната концентрация е в:
- САЩ
- Германия
Това означава, че атаката има значителен потенциал за масово компрометиране.
Част от по-широка вълна от атаки
Уязвимостта не е изолиран случай. Само дни по-рано беше разкрита друга критична слабост:
- CVE-2026-21643
И двете уязвимости:
- са открити от Defused
- вече се експлоатират активно
- показват целенасочен интерес към Fortinet екосистемата
Потенциални последствия
Компрометирането на EMS сървър може да доведе до:
- централен контрол върху endpoint устройства
- разпространение на зловреден софтуер в мрежата
- кражба на корпоративни данни
- пълен достъп до инфраструктурата
Тъй като EMS управлява клиенти, рискът е верижен и системен, а не локален.
Препоръки за незабавни действия
Критични мерки
- Инсталиране на наличните hotfix-и
- Планиране на upgrade към версия 7.4.7
- Ограничаване на публичния достъп до EMS
Допълнителна защита
- Мониторинг за подозрителни заявки към API
- Лог анализ за необичайна активност
- Сегментиране на мрежата
При съмнение за компрометиране
- Пълна проверка на системите
- Ротация на всички credentials
- Проверка на endpoint устройствата
Анализ: защо тази уязвимост е толкова опасна
Този случай комбинира няколко критични фактора:
- Pre-auth exploit – няма нужда от достъп
- Активна експлоатация (in-the-wild)
- Централизирана система (EMS)
- Голям брой изложени инстанции
Това го прави идеален кандидат за:
- масови автоматизирани атаки
- ransomware кампании
- supply chain компрометиране
Уязвимостта CVE-2026-35616 е поредното напомняне, че дори системи за сигурност могат да се превърнат във входна точка за атака. В условията на активна експлоатация, времето за реакция е критично.
Организациите, които използват FortiClient EMS, трябва да действат незабавно – в противен случай рискът от пълно компрометиране е реален и непосредствен.
