CVE-2026-35616: krytyczny błąd w Fortinet FortiClient EMS
CVE-2026-35616 (CVSS 9.8) w Fortinet FortiClient EMS jest aktywnie wykorzystywany i trafił do CISA KEV. Wyjaśniamy zagrożenie i jak zareagować.
Jest w cyberbezpieczeństwie gorzka ironia: narzędzia, które mają nas chronić, same bywają najsłabszym punktem. CVE-2026-35616 to krytyczna podatność (CVSS 9.8) w Fortinet FortiClient EMS — centralnym serwerze zarządzającym klientami VPN i bezpieczeństwem końcówek. Została uznana za aktywnie wykorzystywaną i dodana do katalogu CISA KEV.
Na czym polega problem
FortiClient EMS (Enterprise Management Server) zarządza wdrożeniami FortiClient w całej organizacji. Podatność o wyniku 9.8 oznacza zwykle zdalne wykonanie kodu przez nieuwierzytelnionego atakującego — czyli pełną kompromitację serwera bez logowania. Zgłaszano też powiązaną lukę typu SQL injection (CVE-2026-21643), pozwalającą wykonać nieautoryzowane polecenia przez odpowiednio spreparowane żądania HTTP.
Dodatkowe ryzyko: gdy exploit krąży, a pełna poprawka jeszcze się dopina, producent wydaje hotfix — a każda godzina zwłoki działa na korzyść atakującego.
Co zrobić
- Wgraj poprawkę lub hotfix wskazany przez Fortinet — natychmiast. To serwer zarządzający, więc jego przejęcie daje dostęp do wielu końcówek.
- Ogranicz dostęp do interfejsu zarządzania. Konsola EMS nie powinna być wystawiona do internetu — schowaj ją za VPN lub listę dozwolonych adresów.
- Sprawdź, czy nie doszło do włamania — logi, nietypowe konta i zadania, wskaźniki IOC od producenta.
- Rotuj poświadczenia i przejrzyj konfigurację, jeśli system był publicznie osiągalny.
Szersza lekcja
Urządzenia i serwery bezpieczeństwa (VPN, firewalle, konsole zarządzania) to skoncentrowane cele o wysokiej wartości — jedno przejęcie daje dostęp do wielu systemów. Dlatego traktuj je z najwyższym priorytetem łatania i trzymaj poza publicznym internetem. Ta sama zasada „aktywna eksploatacja przede wszystkim” wraca przy priorytetyzacji podatności, a szybkie łatanie systemów brzegowych to jeden z filarów obrony przed ransomware.
Jeśli chcesz sprawdzić ekspozycję swoich systemów brzegowych, skontaktuj się z nami.
Źródła i dalsza lektura: CISA KEV, Fortinet PSIRT, The Hacker News.