A Fortinet emitiu um hotfix de emergência após pesquisadores de segurança divulgarem uma vulnerabilidade zero-day crítica no FortiClient Endpoint Management Server (EMS) que já está sendo explorada ativamente por agentes de ameaça. Rastreada como CVE-2026-35616, a falha possui uma pontuação CVSSv3 de 9.1 (Crítica), indicando um risco extremo para organizações que utilizam essa solução de gerenciamento de endpoints.
Descoberta e escopo
A vulnerabilidade reside na camada de API do FortiClient EMS e é classificada sob CWE-284 (Controle de Acesso Improper). Ela permite que atacantes não autenticados contornem completamente os controles de autenticação e autorização da API, possibilitando a execução de código ou comandos arbitrários em sistemas vulneráveis. A descoberta foi realizada por Simo Kohonen, da empresa de inteligência de ameaças Defused, e pelo pesquisador independente Nguyen Duc Anh.
A Defused observou a exploração ativa da falha na natureza antes de reportá-la à Fortinet sob protocolos de divulgação responsável. A descoberta foi feita utilizando o recurso Radar da Defused, projetado para identificar atividades de exploração novas em tempo real. A Fortinet respondeu rapidamente, publicando seu advisory (FG-IR-26-099) e liberando o hotfix de emergência no mesmo dia da publicação inicial, 4 de abril de 2026.
Vetor e exploração
O vetor de ataque é baseado em rede e possui baixa complexidade, o que facilita sua exploração por atacantes com diferentes níveis de habilidade técnica. A exploração bem-sucedida não requer autenticação prévia, interação do usuário ou privilégios elevados, tornando-a particularmente perigosa para organizações com implantações de EMS expostas à internet.
Um atacante remoto não autenticado pode enviar solicitações de API especialmente elaboradas para contornar todas as verificações de autenticação e autorização, efetivamente ganhando controle total sobre as operações de gerenciamento de endpoints. O impacto principal listado no advisory da Fortinet é a escalada de privilégios, com a exploração ativa confirmada pelo fornecedor.
Impacto e alcance
Apenas as versões 7.4.5 e 7.4.6 do FortiClient EMS estão afetadas. As versões 7.2.x não são afetadas e não requerem ação. A versão futura 7.4.7 incluirá uma correção permanente, mas a Fortinet disponibilizou hotfixes de emergência imediatamente para ambas as ramificações afetadas enquanto o lançamento é finalizado.
O impacto dessa vulnerabilidade é amplo, afetando a confidencialidade, integridade e disponibilidade dos sistemas gerenciados. A capacidade de um atacante de executar código arbitrário sem autenticação significa que ele pode instalar malware, exfiltrar dados, desativar defesas de segurança ou utilizar o sistema como ponto de pivô para ataques internos.
Medidas de mitigação recomendadas
A Fortinet recomenda fortemente que todos os clientes executando versões afetadas apliquem o hotfix de emergência imediatamente. Instruções detalhadas de instalação estão disponíveis nas notas de lançamento oficiais do FortiClient EMS para cada build afetado. Para a versão 7.4.5, as instruções estão nas notas de lançamento 7.4.5, e para a 7.4.6, nas notas de lançamento 7.4.6.
Além da aplicação do patch, as organizações devem monitorar seus logs de EMS em busca de atividade de API anômala, especialmente solicitações não autenticadas que podem indicar tentativas de exploração anteriores. Sempre que possível, restringir o acesso externo à interface de gerenciamento do EMS na periferia da rede adiciona uma camada significativa de defesa enquanto o patching é concluído.
Implicações regulatórias (LGPD)
Considerando a natureza crítica da vulnerabilidade e a possibilidade de acesso não autorizado a dados gerenciados, as organizações brasileiras devem avaliar se o incidente pode configurar um incidente de segurança de dados pessoais sob a Lei Geral de Proteção de Dados (LGPD). A capacidade de um atacante de acessar e manipular dados de endpoints pode resultar em vazamento de informações sensíveis, exigindo notificação à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados, caso aplicável.
Perguntas frequentes
- Quais versões são afetadas? Apenas FortiClient EMS 7.4.5 e 7.4.6.
- Qual o CVSS da vulnerabilidade? 9.1 (Crítico).
- Como aplicar o patch? Siga as instruções nas notas de lançamento oficiais do Fortinet para cada versão.
- É necessário reiniciar o servidor? Consulte as notas de lançamento específicas para detalhes de instalação e reinicialização.