Fortinet vuelve a estar en el centro de atención tras la divulgación de una vulnerabilidad crítica en FortiClient Endpoint Management Server (EMS), identificada como CVE-2026-35616. El fallo permite que un atacante no autenticado ejecute código remoto mediante peticiones especialmente manipuladas, comprometiendo completamente el servidor de administración de endpoints. Lo más preocupante es que la explotación activa ya fue confirmada por Fortinet y organismos de ciberseguridad como CISA.
La vulnerabilidad afecta específicamente a FortiClient EMS, una plataforma ampliamente utilizada para gestionar endpoints corporativos, despliegues VPN y políticas de seguridad centralizadas. En entornos empresariales donde el servidor EMS está expuesto a Internet o mal segmentado, el riesgo es extremadamente alto.
¿Qué es CVE-2026-35616?
La falla corresponde a un problema de control de acceso incorrecto (Improper Access Control) que permite omitir mecanismos de autenticación en la API de FortiClient EMS. Un atacante remoto puede enviar solicitudes manipuladas y ejecutar comandos o código arbitrario sin necesidad de credenciales válidas.
El problema fue clasificado como crítico con una puntuación CVSS de hasta 9.8 según diversos reportes de seguridad.
Versiones afectadas
Fortinet confirmó que las siguientes versiones están comprometidas:
|
Producto |
Versiones afectadas |
|---|---|
|
FortiClient EMS 7.4 |
7.4.5 y 7.4.6 |
La mitigación oficial consiste en actualizar inmediatamente a:
|
Producto |
Versión corregida |
|---|---|
|
FortiClient EMS |
7.4.7 o superior |
Explotación activa en entornos reales
Diversos equipos de threat intelligence detectaron ataques activos utilizando esta vulnerabilidad apenas días después de su divulgación. Fortinet confirmó que el fallo ya estaba siendo explotado antes de publicarse el advisory oficial.
Investigadores de Arctic Wolf observaron campañas donde los atacantes distribuían malware disfrazado de actualizaciones legítimas de Fortinet. En algunos casos se desplegó el infostealer EKZ para robar credenciales almacenadas en navegadores como Chrome, Edge y Firefox.
Además, CISA añadió la vulnerabilidad al catálogo KEV (Known Exploited Vulnerabilities), lo que confirma que existe explotación comprobada en la naturaleza.
Impacto potencial en empresas
Un servidor EMS comprometido puede convertirse rápidamente en un punto de pivote dentro de la infraestructura corporativa. Debido a que administra endpoints y políticas de seguridad, un atacante podría:
- Ejecutar código arbitrario en el servidor EMS
- Desplegar malware a endpoints administrados
- Robar credenciales corporativas
- Escalar privilegios dentro del dominio
- Comprometer túneles VPN corporativos
- Obtener persistencia en la red interna
En organizaciones con FortiClient desplegado masivamente, el impacto puede ser crítico.
Cómo verificar la versión instalada
En Windows Server donde corre EMS, se puede validar desde:
Panel de control → Programas → FortiClient EMS
O utilizando PowerShell:
Get-ItemProperty "HKLM:\SOFTWARE\Fortinet\FortiClientEMS" | Select DisplayVersion
También puede verificarse desde la consola web de administración.
Recomendaciones inmediatas
1. Actualizar urgentemente
La principal recomendación es actualizar a FortiClient EMS 7.4.7 o superior lo antes posible.
Fortinet publicó hotfixes temporales y versiones corregidas para instalaciones afectadas.
2. Restringir acceso al EMS
El servidor EMS no debería estar expuesto directamente a Internet. Se recomienda:
- Limitar acceso mediante VPN
- Filtrar IPs permitidas
- Implementar segmentación de red
- Restringir acceso administrativo
3. Revisar logs y actividad sospechosa
Buscar:
- Requests inusuales a APIs EMS
- Nuevas cuentas administrativas
- Procesos desconocidos
- Conexiones salientes sospechosas
- Instalaciones inesperadas en endpoints
4. Revisar indicadores de compromiso
Si el sistema estuvo expuesto públicamente durante abril o mayo de 2026, es recomendable asumir posible compromiso y realizar:
- Rotación de credenciales
- Revisión EDR
- Análisis forense básico
- Escaneo de persistencia
Fortinet y la seguidilla de vulnerabilidades críticas
Este incidente se suma a otros problemas recientes en FortiClient EMS, incluyendo CVE-2026-21643, otra vulnerabilidad crítica de SQL Injection con RCE también explotada activamente este año.
La recurrencia de fallos críticos en plataformas expuestas a Internet vuelve a poner sobre la mesa la importancia de:
- Gestión rápida de parches
- Segmentación de servicios críticos
- Monitoreo continuo
- Arquitecturas Zero Trust
Conclusión
CVE-2026-35616 representa una amenaza crítica para organizaciones que utilicen FortiClient EMS, especialmente si el servidor está accesible desde Internet. La explotación activa ya fue confirmada y existen campañas reales distribuyendo malware y robando credenciales.
Si administrás infraestructura Fortinet, la actualización inmediata debe considerarse prioritaria. No alcanza únicamente con aplicar el parche: también es recomendable revisar logs históricos, validar integridad del servidor EMS y monitorear endpoints administrados en busca de actividad sospechosa.
