Fortinet vydal mimoriadne (out-of-band) opravy pre kritickú bezpečnostnú chybu ovplyvňujúcu FortiClient EMS, o ktorej uviedol, že bola zneužívaná v reálnom prostredí.
Zraniteľnosť, sledovaná ako CVE-2026-35616 (CVSS skóre: 9.1), bola opísaná ako obídenie prístupu k API pred autentifikáciou vedúce k eskalácii oprávnení.
„Zraniteľnosť nesprávnej kontroly prístupu [CWE-284] vo FortiClient EMS môže umožniť neautentifikovanému útočníkovi vykonávať neautorizovaný kód alebo príkazy prostredníctvom špeciálne vytvorených požiadaviek,“ uviedol Fortinet v sobotnom oznámení.
Problém ovplyvňuje verzie FortiClient EMS 7.4.5 až 7.4.6. Očakáva sa, že bude plne opravený v pripravovanej verzii 7.4.7, hoci spoločnosť už vydala hotfix na jeho riešenie.
Simo Kohonen z Defused Cyber a Nguyen Duc Anh sú uvedení ako osoby, ktoré zraniteľnosť objavili a nahlásili. V príspevku na X Defused Cyber uviedol, že začiatkom tohto týždňa pozoroval zero-day zneužívanie CVE-2026-35616. Podľa watchTowr boli pokusy o zneužitie CVE-2026-35616 prvýkrát zaznamenané proti jeho honeypotom 31. marca 2026.
Úspešné zneužitie tejto chyby by mohlo umožniť neautentifikovanému útočníkovi obísť ochrany autentifikácie a autorizácie API a vykonávať škodlivý kód alebo príkazy prostredníctvom špeciálne vytvorených požiadaviek.
„Fortinet zaznamenal, že táto zraniteľnosť je zneužívaná v reálnom prostredí a vyzýva zraniteľných zákazníkov, aby nainštalovali hotfix pre FortiClient EMS 7.4.5 a 7.4.6,“ dodala spoločnosť.
Tento vývoj prichádza len niekoľko dní po tom, čo sa ďalšia nedávno opravená kritická zraniteľnosť vo FortiClient EMS (CVE-2026-21643, CVSS skóre: 9.1) dostala do aktívneho zneužívania. V súčasnosti nie je známe, či za zneužívaním oboch chýb stojí ten istý útočník a či sú využívané spoločne.
Vzhľadom na závažnosť zraniteľností sa používateľom odporúča čo najskôr aktualizovať FortiClient EMS na najnovšiu verziu.
„Načasovanie nárastu zneužívania tohto zero-day v reálnom prostredí pravdepodobne nie je náhodné,“ povedal generálny riaditeľ a zakladateľ watchTowr Benjamin Harris pre The Hacker News.
„Útočníci opakovane ukázali, že sviatočné víkendy sú najlepší čas na útok. Bezpečnostné tímy fungujú na polovičný výkon, on-call inžinieri sú rozptýlení a čas medzi kompromitáciou a detekciou sa natiahne z hodín na dni. Veľká noc, ako každý iný sviatok, predstavuje príležitosť.“
„Čo je sklamaním, je širší obraz. Toto je druhá neautentifikovaná zraniteľnosť vo FortiClient EMS v priebehu niekoľkých týždňov.“
„Takže ešte raz, organizácie prevádzkujúce FortiClient EMS a vystavené internetu by to mali považovať za núdzovú situáciu, nie za niečo, čomu sa budú venovať v utorok ráno. Aplikujte hotfix. Útočníci už majú náskok.“
Aktualizácia
Americká agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) 6. apríla 2026 pridala CVE-2026-35616 do svojho katalógu Known Exploited Vulnerabilities (KEV), čím vyžaduje od agentúr Federal Civilian Executive Branch (FCEB) aplikovať potrebné opravy do 9. apríla 2026.
Viac informácií tu:
https://thehackernews.com/2026/04/fortinet-patches-actively-exploited-cve.html