Fortinet выпустила внеплановые патчи для критической уязвимости нулевого дня в своём продукте FortiClient EMS. Брешь отслеживается как CVE-2026-35616, получила оценку 9.1 по шкале CVSS и уже активно используется злоумышленниками. Компания настоятельно рекомендует всем организациям, чьи системы доступны из интернета, не дожидаться рабочего понедельника, а применить исправление немедленно, в режиме аварийного реагирования.
Уязвимость затрагивает FortiClient EMS версий 7.4.5 и 7.4.6. Технически она классифицируется как CWE-284 — некорректное управление доступом. Суть проблемы: неаутентифицированный атакующий может обойти авторизацию API на этапе до аутентификации, повысить свои привилегии и выполнить произвольный код через специально сформированные запросы. Горячее исправление (hotfix) уже доступно для обеих затронутых версий, а полноценный патч ожидается в составе версии 7.4.7.
Эксплуатацию этой уязвимости в реальных условиях первыми зафиксировали специалисты компании Defused Cyber. Они опубликовали информацию в соцсети X (бывший Twitter) на этой неделе. Обнаружение и репорт приписывают исследователям Симо Кохонену (Simo Kohonen) и Нгуен Дык Аню (Nguyen Duc Anh). Официальный бюллетень безопасности Fortinet опубликовала в субботу — то есть уже по факту активной эксплуатации.
Параллельно компания watchTowr фиксировала попытки эксплуатации на своих ханипотах начиная с 31 марта 2026 года. Основатель и генеральный директор watchTowr Бенджамин Харрис (Benjamin Harris) поделился с изданием The Hacker News своей оценкой ситуации, и его комментарии рисуют довольно мрачную картину.
«Атакующие намеренно наращивали активность именно в пасхальные выходные», — отметил Харрис. По его словам, логика выбора времени проста и циничнa: команды безопасности работают в половинном составе, дежурные инженеры отвлечены, а окно между компрометацией сети и обнаружением инцидента растягивается с часов до дней. Праздники — идеальное прикрытие для массовой атаки.
Ситуацию усугубляет то, что CVE-2026-35616 — уже вторая критическая уязвимость в FortiClient EMS за последние несколько недель, позволяющая атаку без аутентификации. Совсем недавно была исправлена CVE-2026-21643, тоже получившая оценку 9.1 по CVSS и тоже эксплуатируемая в дикой природе. Пока неизвестно, стоит ли за обеими атаками одна и та же группировка, и используются ли эти уязвимости совместно в одной цепочке.
Бенджамин Харрис назвал происходящее «разочаровывающим» в более широком контексте. Две подряд критические дыры, требующие нулевой аутентификации для эксплуатации, в одном и том же корпоративном продукте — это серьёзный удар по репутации. А злоумышленники, по его оценке, сейчас имеют фору.
FortiClient EMS — это софт для централизованного управления эндпоинтами Fortinet в корпоративных средах. Его компрометация потенциально открывает атакующим доступ ко всей инфраструктуре клиента. При том что запросы даже не требуют предварительной авторизации, масштаб угрозы трудно переоценить.
Организациям, использующим FortiClient EMS 7.4.5 или 7.4.6, стоит проверить свои системы прямо сейчас, не откладывая до утра понедельника. Установить хотфикс, проверить логи на предмет подозрительных API-вызовов, а в идеале — провести ретроспективный анализ сетевой активности как минимум с 31 марта. Праздничные выходные для хакеров давно стали рабочими буднями.
Изображение носит иллюстративный характер
Уязвимость затрагивает FortiClient EMS версий 7.4.5 и 7.4.6. Технически она классифицируется как CWE-284 — некорректное управление доступом. Суть проблемы: неаутентифицированный атакующий может обойти авторизацию API на этапе до аутентификации, повысить свои привилегии и выполнить произвольный код через специально сформированные запросы. Горячее исправление (hotfix) уже доступно для обеих затронутых версий, а полноценный патч ожидается в составе версии 7.4.7.
Эксплуатацию этой уязвимости в реальных условиях первыми зафиксировали специалисты компании Defused Cyber. Они опубликовали информацию в соцсети X (бывший Twitter) на этой неделе. Обнаружение и репорт приписывают исследователям Симо Кохонену (Simo Kohonen) и Нгуен Дык Аню (Nguyen Duc Anh). Официальный бюллетень безопасности Fortinet опубликовала в субботу — то есть уже по факту активной эксплуатации.
Параллельно компания watchTowr фиксировала попытки эксплуатации на своих ханипотах начиная с 31 марта 2026 года. Основатель и генеральный директор watchTowr Бенджамин Харрис (Benjamin Harris) поделился с изданием The Hacker News своей оценкой ситуации, и его комментарии рисуют довольно мрачную картину.
«Атакующие намеренно наращивали активность именно в пасхальные выходные», — отметил Харрис. По его словам, логика выбора времени проста и циничнa: команды безопасности работают в половинном составе, дежурные инженеры отвлечены, а окно между компрометацией сети и обнаружением инцидента растягивается с часов до дней. Праздники — идеальное прикрытие для массовой атаки.
Ситуацию усугубляет то, что CVE-2026-35616 — уже вторая критическая уязвимость в FortiClient EMS за последние несколько недель, позволяющая атаку без аутентификации. Совсем недавно была исправлена CVE-2026-21643, тоже получившая оценку 9.1 по CVSS и тоже эксплуатируемая в дикой природе. Пока неизвестно, стоит ли за обеими атаками одна и та же группировка, и используются ли эти уязвимости совместно в одной цепочке.
Бенджамин Харрис назвал происходящее «разочаровывающим» в более широком контексте. Две подряд критические дыры, требующие нулевой аутентификации для эксплуатации, в одном и том же корпоративном продукте — это серьёзный удар по репутации. А злоумышленники, по его оценке, сейчас имеют фору.
FortiClient EMS — это софт для централизованного управления эндпоинтами Fortinet в корпоративных средах. Его компрометация потенциально открывает атакующим доступ ко всей инфраструктуре клиента. При том что запросы даже не требуют предварительной авторизации, масштаб угрозы трудно переоценить.
Организациям, использующим FortiClient EMS 7.4.5 или 7.4.6, стоит проверить свои системы прямо сейчас, не откладывая до утра понедельника. Установить хотфикс, проверить логи на предмет подозрительных API-вызовов, а в идеале — провести ретроспективный анализ сетевой активности как минимум с 31 марта. Праздничные выходные для хакеров давно стали рабочими буднями.
