Przejdź do treści
Breachroad
Wróć do bloga
Podatności

CVE-2026-35616: krytyczny błąd w Fortinet FortiClient EMS

CVE-2026-35616 (CVSS 9.8) w Fortinet FortiClient EMS jest aktywnie wykorzystywany i trafił do CISA KEV. Wyjaśniamy zagrożenie i jak zareagować.

KR
Karol Rapacz
20 kwietnia 2026 · 5 min czytania
CVE-2026-35616: krytyczny błąd w Fortinet FortiClient EMS

Jest w cyberbezpieczeństwie gorzka ironia: narzędzia, które mają nas chronić, same bywają najsłabszym punktem. CVE-2026-35616 to krytyczna podatność (CVSS 9.8) w Fortinet FortiClient EMS — centralnym serwerze zarządzającym klientami VPN i bezpieczeństwem końcówek. Została uznana za aktywnie wykorzystywaną i dodana do katalogu CISA KEV.

Na czym polega problem

FortiClient EMS (Enterprise Management Server) zarządza wdrożeniami FortiClient w całej organizacji. Podatność o wyniku 9.8 oznacza zwykle zdalne wykonanie kodu przez nieuwierzytelnionego atakującego — czyli pełną kompromitację serwera bez logowania. Zgłaszano też powiązaną lukę typu SQL injection (CVE-2026-21643), pozwalającą wykonać nieautoryzowane polecenia przez odpowiednio spreparowane żądania HTTP.

Dodatkowe ryzyko: gdy exploit krąży, a pełna poprawka jeszcze się dopina, producent wydaje hotfix — a każda godzina zwłoki działa na korzyść atakującego.

Co zrobić

  1. Wgraj poprawkę lub hotfix wskazany przez Fortinet — natychmiast. To serwer zarządzający, więc jego przejęcie daje dostęp do wielu końcówek.
  2. Ogranicz dostęp do interfejsu zarządzania. Konsola EMS nie powinna być wystawiona do internetu — schowaj ją za VPN lub listę dozwolonych adresów.
  3. Sprawdź, czy nie doszło do włamania — logi, nietypowe konta i zadania, wskaźniki IOC od producenta.
  4. Rotuj poświadczenia i przejrzyj konfigurację, jeśli system był publicznie osiągalny.

Szersza lekcja

Urządzenia i serwery bezpieczeństwa (VPN, firewalle, konsole zarządzania) to skoncentrowane cele o wysokiej wartości — jedno przejęcie daje dostęp do wielu systemów. Dlatego traktuj je z najwyższym priorytetem łatania i trzymaj poza publicznym internetem. Ta sama zasada „aktywna eksploatacja przede wszystkim” wraca przy priorytetyzacji podatności, a szybkie łatanie systemów brzegowych to jeden z filarów obrony przed ransomware.

Jeśli chcesz sprawdzić ekspozycję swoich systemów brzegowych, skontaktuj się z nami.


Źródła i dalsza lektura: CISA KEV, Fortinet PSIRT, The Hacker News.

Udostępnij artykuł

Usługi Umów konsultację