Se ha emitido una alerta crítica en la comunidad de ciberseguridad tras el descubrimiento de una vulnerabilidad zero-day que está siendo activamente explotada en la naturaleza (in-the-wild) y que afecta a Fortinet FortiClient Endpoint Management Server (EMS). Identificada como CVE-2026-35616 y con una severidad crítica (CVSS 9.1), esta falla permite a atacantes remotos no autenticados eludir la autenticación de la API y lograr la ejecución no autorizada de comandos. Este incidente ocurre apenas días después de que se registrara la explotación masiva de otro fallo crítico de inyección SQL en versiones previas del mismo producto (CVE-2026-21643).
Anatomía del Ataque
FortiClient EMS es la plataforma de gestión centralizada que permite a las organizaciones desplegar, configurar y monitorear los agentes de seguridad instalados en los dispositivos corporativos. La explotación de este nuevo zero-day opera de la siguiente manera:
- Vulnerabilidad Base: El fallo reside en un control de acceso inadecuado (Improper Access Control) que afecta directamente a la capa de la API de las versiones 7.4.5 y 7.4.6 de FortiClient EMS.
- Evasión de Autenticación (Bypass): Un atacante remoto puede enviar solicitudes HTTP y a la API especialmente manipuladas hacia la interfaz del servidor. El sistema falla al validar adecuadamente los permisos, permitiendo que el atacante evada completamente las verificaciones de identidad y autorización.
- Escalada de Privilegios y RCE: Al obtener acceso no autorizado a los endpoints de la API de administración, el atacante logra interactuar como un usuario con privilegios elevados, lo que le permite ejecutar código o comandos arbitrarios directamente en el servidor de gestión.
Impacto
Al ser el centro neurálgico de la administración de endpoints, un compromiso de FortiClient EMS equivale a entregarle al atacante las llaves de toda la infraestructura de la organización:
- Compromiso Masivo de la Red: El atacante puede desplegar malware, ransomware o herramientas de espionaje de forma masiva enviando instrucciones a través de la conexión legítima que mantienen las estaciones de trabajo con el EMS.
- Desactivación de Seguridad: Permite alterar las reglas de firewall, revocar certificados o desactivar los agentes antivirus instalados en los equipos de los empleados para actuar sin ser detectado.
- Movimiento Lateral: La ejecución de código en el servidor permite al atacante utilizar este equipo de alta confianza como cabeza de playa para pivotar hacia otros servidores y bases de datos sensibles dentro de la red corporativa.
Recomendaciones y Mitigación Inmediata
Dado que los investigadores ya han observado intentos de explotación activa, la remediación es urgente:
- Aplicación de Hotfixes de Emergencia: Debido a la gravedad del problema, Fortinet ha publicado parches de corrección rápida (hotfixes) para las versiones afectadas, ya que la versión definitiva con el parche (7.4.7) se encuentra en desarrollo.
- Si utiliza la versión 7.4.5, aplique el hotfix 7.4.5.2111.
- Si utiliza la versión 7.4.6, aplique el hotfix 7.4.6.2170. (Nota: Fortinet ha confirmado que la rama 7.2 no se ve afectada por esta vulnerabilidad).
- Restricción de Acceso Perimetral: Nunca exponga el panel de administración o las interfaces de la API de FortiClient EMS directamente a Internet. El acceso debe restringirse estrictamente a través de una VPN corporativa, requiriendo autenticación fuerte y empleando segmentación de red.
- Auditoría y Búsqueda de Amenazas (Threat Hunting): Revisar de inmediato los registros (logs) de acceso web y API en el servidor afectado. Se debe buscar tráfico anómalo, creación de nuevas cuentas de administrador no reconocidas o modificaciones recientes en las políticas de configuración de los endpoints.
