Компания Fortinet предприняла срочные меры, выпустила внеплановые патчи для устранения критической уязвимости в своем сервере управления предприятиями FortiClient (EMS). Уязвимость, зарегистрированная как CVE-2026-35616 с высоким баллом CVSS 9.1, представляет собой нарушение контроля доступа (CWE-284) в API, работающем до аутентификации. Компания подтвердила, что эта уязвимость активно эксплуатируется в реальных условиях, что повышает уровень угрозы до непосредственного и серьезного риска для организаций, использующих непропатченное программное обеспечение.
Суть уязвимости заключается в механизме обхода, который позволяет неаутентифицированному злоумышленнику отправлять специально сформированные запросы к API FortiClient EMS. Используя этот недостаток, злоумышленник может обойти обычные проверки аутентификации и получить несанкционированный доступ к системе управления. Этот доступ затем может быть использован для повышения привилегий, что потенциально дает административный контроль над всем развертыванием FortiClient EMS. Такой контроль может позволить злоумышленнику развернуть вредоносное ПО, манипулировать политиками безопасности, похищать конфиденциальные данные конечных точек или использовать скомпрометированный сервер в качестве плацдарма для латерального перемещения внутри корпоративной сети.
Учитывая подтвержденную эксплуатацию в реальных условиях, выпуск Fortinet внеплановых патчей — вне обычного графика обновлений — подчеркивает серьезность ситуации. Администраторам, ответственным за версии FortiClient EMS с 7.2.0 по 7.2.2 и с 7.0.0 по 7.0.10, необходимо немедленно применить предоставленные обновления. Исправленными версиями являются 7.2.3 и 7.0.11 соответственно. В качестве критической меры смягчения последствий организациям также следует рассмотреть возможность ограничения сетевого доступа к интерфейсу управления EMS, убедиться, что он не доступен напрямую из интернета, и отслеживать логи на предмет любой подозрительной активности API, исходящей из ненадежных источников.
Этот инцидент является stark напоминанием о рисках, связанных с централизованными системами управления конечными точками, которые представляют собой высокоценные цели для киберпреступников. Компрометация сервера EMS может подорвать безопасность каждого управляемого конечного устройства. Организациям рекомендуется не только оперативно применить этот патч, но и пересмотреть свои более широкие стратегии управления уязвимостями и сегментации сети для защиты критически важной административной инфраструктуры от подобных угроз в будущем.
