На выходных компания Fortinet выпустила экстренный патч для критической уязвимости в FortiClient Enterprise Management Server (EMS), которая, как полагают, использовалась в атаках как минимум с 31 марта.
Эта уязвимость, отслеживаемая как CVE-2026-35616, представляет собой проблему с контролем доступа, позволяющую неаутентифицированным злоумышленникам выполнять несанкционированный код или команды посредством специально сформированных запросов. Она получила критическую оценку CVSS 9.1. Помимо настоятельного призыва к клиентам установить исправление для FortiClient EMS версий 7.4.5 и 7.4.6, поставщик межсетевых экранов также предупредил, что он «зафиксировал использование этой уязвимости в реальных атаках».
Этот продукт позволяет компаниям централизованно управлять и защищать как удаленные, так и офисные компьютеры, а данная ошибка стала вторым критическим дефектом FortiClient, ставшим объектом атак за последние несколько недель. В конце марта исследователи безопасности предупреждали, что CVE-2026-21643, которая также приводит к неаутентифицированному удаленному выполнению кода, активно эксплуатировалась в реальных условиях.
В понедельник Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило уязвимость FortiClient EMS в свой Каталог известных эксплуатируемых уязвимостей (KEV) и установило четверг в качестве крайнего срока для всех федеральных ведомств по установке патча.
The Register запросила у Fortinet более подробную информацию о том, кто злоупотреблял уязвимостью и сколько клиентов пострадало. Хотя компания, занимающаяся программным обеспечением для обеспечения безопасности, отказалась отвечать на конкретные вопросы, представитель Fortinet сообщил The Register, что «наши ответные меры PSIRT и усилия по устранению последствий продолжаются», и «мы напрямую общаемся с клиентами, чтобы проинформировать их о любых необходимых действиях».
В прошлом правительственные хакеры из России и Китая атаковали уязвимые экземпляры FortiClient EMS.
По словам вице-президента VulnCheck по исследованиям безопасности Кейтлин Кондон, хорошая новость заключается в том, что «поверхность FortiClient EMS, доступная из интернета, относительно невелика». Кондон сообщила The Register, что анализ ее команды выявил около 100 экземпляров, подверженных воздействию интернета.
Генеральный директор WatchTowr Бенджамин Харрис сообщил нам на выходных, что инфраструктура ловушек (honeypot) его службы безопасности впервые зафиксировала попытки злоумышленников использовать CVE-2026-35616 31 марта.
В понедельник Райан Дьюхерст, руководитель отдела проактивной разведки угроз в watchTowr, заявил The Register, что первоначальное поведение «свидетельствовало об осторожной, «медленной и скрытной» эксплуатации».
Но он добавил, что ситуация быстро обострилась. «Как мы регулярно видим, когда вскрываются уязвимости нулевого дня, эксплуатация перестает быть скрытной и целенаправленной — происходит явный сдвиг в сторону оппортунистического и максимально неразборчивого использования своего эксплойта нулевого дня до начала установки патчей», — сказал Дьюхерст. «Мы говорили это раньше и повторим, когда эксплуатация в реальных условиях станет повсеместной: лучшее время для установки исправления было вчера, а второе лучшее время — прямо сейчас». ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
