Fortinet экстренно латает критическую дыру в FortiClient EMS, которую уже вовсю эксплуатируют хакеры

Fortinet выпустила внеплановые патчи для критической уязвимости нулевого дня в своём продукте FortiClient EMS. Брешь отслеживается как CVE-2026-35616, получила оценку 9.1 по шкале CVSS и уже активно используется злоумышленниками. Компания настоятельно рекомендует всем организациям, чьи системы доступны из интернета, не дожидаться рабочего понедельника, а применить исправление немедленно, в режиме аварийного реагирования.
Fortinet экстренно латает критическую дыру в FortiClient EMS, которую уже вовсю эксплуатируют хакеры
Изображение носит иллюстративный характер

Уязвимость затрагивает FortiClient EMS версий 7.4.5 и 7.4.6. Технически она классифицируется как CWE-284 — некорректное управление доступом. Суть проблемы: неаутентифицированный атакующий может обойти авторизацию API на этапе до аутентификации, повысить свои привилегии и выполнить произвольный код через специально сформированные запросы. Горячее исправление (hotfix) уже доступно для обеих затронутых версий, а полноценный патч ожидается в составе версии 7.4.7.
Эксплуатацию этой уязвимости в реальных условиях первыми зафиксировали специалисты компании Defused Cyber. Они опубликовали информацию в соцсети X (бывший Twitter) на этой неделе. Обнаружение и репорт приписывают исследователям Симо Кохонену (Simo Kohonen) и Нгуен Дык Аню (Nguyen Duc Anh). Официальный бюллетень безопасности Fortinet опубликовала в субботу — то есть уже по факту активной эксплуатации.
Параллельно компания watchTowr фиксировала попытки эксплуатации на своих ханипотах начиная с 31 марта 2026 года. Основатель и генеральный директор watchTowr Бенджамин Харрис (Benjamin Harris) поделился с изданием The Hacker News своей оценкой ситуации, и его комментарии рисуют довольно мрачную картину.
«Атакующие намеренно наращивали активность именно в пасхальные выходные», — отметил Харрис. По его словам, логика выбора времени проста и циничнa: команды безопасности работают в половинном составе, дежурные инженеры отвлечены, а окно между компрометацией сети и обнаружением инцидента растягивается с часов до дней. Праздники — идеальное прикрытие для массовой атаки.
Ситуацию усугубляет то, что CVE-2026-35616 — уже вторая критическая уязвимость в FortiClient EMS за последние несколько недель, позволяющая атаку без аутентификации. Совсем недавно была исправлена CVE-2026-21643, тоже получившая оценку 9.1 по CVSS и тоже эксплуатируемая в дикой природе. Пока неизвестно, стоит ли за обеими атаками одна и та же группировка, и используются ли эти уязвимости совместно в одной цепочке.
Бенджамин Харрис назвал происходящее «разочаровывающим» в более широком контексте. Две подряд критические дыры, требующие нулевой аутентификации для эксплуатации, в одном и том же корпоративном продукте — это серьёзный удар по репутации. А злоумышленники, по его оценке, сейчас имеют фору.
FortiClient EMS — это софт для централизованного управления эндпоинтами Fortinet в корпоративных средах. Его компрометация потенциально открывает атакующим доступ ко всей инфраструктуре клиента. При том что запросы даже не требуют предварительной авторизации, масштаб угрозы трудно переоценить.
Организациям, использующим FortiClient EMS 7.4.5 или 7.4.6, стоит проверить свои системы прямо сейчас, не откладывая до утра понедельника. Установить хотфикс, проверить логи на предмет подозрительных API-вызовов, а в идеале — провести ретроспективный анализ сетевой активности как минимум с 31 марта. Праздничные выходные для хакеров давно стали рабочими буднями.


Новое на сайте

20204Дыра в Argo CD: почему 18 месяцев без патча — это катастрофа? 20203WhatsApp запускает имена пользователей: теперь можно общаться без раскрытия номера... 20202Почему США пришлось заморозить сильнейший ИИ Anthropic — и чего это стоило отрасли? 20201Ousaban: бразильский банковский троян, который охотится на клиентов испанских и... 20200Три новые группировки вымогателей: Citrix Bleed 2, уязвимые драйверы и атаки через... 20198Тупиковый майнинг биткоина тратит столько энергии, сколько вырабатывают все гэс Швейцарии... 20197DuneSlide: как два скрытых промпта позволяли захватить машину разработчика через Cursor 20196Уязвимость в Progress Kemp LoadMaster: кто уже пытается взломать ваш балансировщик? 20194Критическая уязвимость в SimpleHelp позволяет красть данные из облаков, кошельков и... 20193Ультрабыстрые лазеры поместились на чип: как журналистика о науке работает без самой науки 20192Почему Adobe выпускает патчи дважды в месяц и что скрывается за семью уязвимостями с... 20191Два миллиона домашних устройств работали прокси-сетью — и никто из владельцев об этом не...
Ссылка