Компания Fortinet выпустила срочное обновление безопасности в выходные дни для устранения недавно обнаруженной критической уязвимости в своем сервере управления предприятиями FortiClient EMS (Enterprise Management Server). Уязвимость, зарегистрированная под идентификатором CVE-2026-35616, представляет собой проблему неправильного контроля доступа, которая позволяет неаутентифицированным злоумышленникам выполнять произвольный код или команды, отправляя специально сформированные запросы на сервер. Компания подтвердила, что эта уязвимость уже активно эксплуатируется в реальных условиях, что побудило к внеплановому выпуску патча. Организации настоятельно рекомендуется применить исправление немедленно, чтобы предотвратить потенциальный компрометацию систем.
Уязвимость затрагивает конкретно версии FortiClient EMS 7.4.5 и 7.4.6. Fortinet выпустила экстренные исправления (hotfix) для этих версий и заявила, что исправление также будет включено в предстоящий выпуск FortiClient EMS 7.4.7. Примечательно, что версия 7.2 программного обеспечения не затронута. Уязвимость была обнаружена исследователями кибербезопасности из компании Defused, которые охарактеризовали ее как обход контроля доступа к API до аутентификации (pre-authentication API access bypass). Этот тип уязвимости позволяет злоумышленникам полностью обойти механизмы аутентификации и авторизации системы, предоставляя прямой путь к выполнению команд на сервере.
По данным Defused, уязвимость эксплуатировалась как уязвимость нулевого дня (zero-day) ранее на этой неделе до того, как компания ответственно раскрыла информацию о ней Fortinet. Быстрый переход от обнаружения к активной эксплуатации подчеркивает высокую ценность, которую злоумышленники придают подобным недостаткам в широко распространенных инструментах управления предприятиями. Организация по мониторингу интернет-инфраструктуры Shadowserver уже обнаружила более 2000 экземпляров FortiClient EMS, доступных в публичном интернете, что представляет собой значительную поверхность для атак.
Этот инцидент является частью общей тенденции, когда злоумышленники активно нацеливаются на уязвимости в сетевых устройствах безопасности и управления. Возможность обойти аутентификацию на центральном сервере управления, таком как FortiClient EMS, особенно опасна, поскольку может предоставить злоумышленникам постоянный доступ к управляемым конечным точкам по всей организации. Командам безопасности, ответственным за среды Fortinet, необходимо расставить приоритеты в применении предоставленных исправлений. Непрерывный мониторинг подозрительной активности и обеспечение того, что такие интерфейсы управления не подвергаются необязательному воздействию интернета, являются критически важными дополнительными защитными мерами.
