La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de EE. UU. emitió una directiva este lunes exigiendo a las agencias ejecutivas civiles federales (FCEB) que completen la corrección de la vulnerabilidad crítica CVE-2026-35616 en los servidores de gestión empresarial (EMS) de FortiClient antes de la medianoche del 9 de abril. La vulnerabilidad, descubierta por la firma de ciberseguridad Defused, se clasifica como un fallo de omisión de acceso a la API previo a la autenticación, lo que permite a atacantes no autorizados ejecutar código o comandos mediante solicitudes manipuladas.
Fortinet ya ha lanzado parches de emergencia e insta a sus clientes a actualizar inmediatamente a la versión 7.4.7 o a instalar los parches específicos para las versiones 7.4.5 y 7.4.6. Según datos de Shadowserver, actualmente hay cerca de 2,000 instancias de FortiClient EMS expuestas a internet en todo el mundo, con más de 1,400 direcciones IP ubicadas en Estados Unidos y Europa. La CISA advirtió: "Este tipo de vulnerabilidades son vectores de ataque frecuentemente utilizados por actores maliciosos y representan un riesgo significativo para las redes federales".
Además de Estados Unidos, la Agencia de Ciberseguridad de Singapur (CSA) también ha emitido una alerta urgente sobre este fallo. Benjamin Harris, director ejecutivo de la firma de ciberseguridad watchTowr, señaló que sus sistemas de 'honeypot' comenzaron a detectar intentos de explotación de la CVE-2026-35616 desde el 31 de marzo. Harris destacó que los atacantes aprovecharon la escasez de personal en los equipos de seguridad durante las vacaciones de Semana Santa para llevar a cabo sus intrusiones.
La amenaza de los ataques de día cero sigue escalando
Harris añadió que esta es la segunda vulnerabilidad de FortiClient EMS revelada en apenas tres semanas. En su opinión, el momento elegido por los atacantes para explotar vulnerabilidades de día cero no es casualidad: "Los atacantes han demostrado repetidamente que los días festivos son el momento ideal para actuar. Los equipos de seguridad operan con personal reducido y los ingenieros de guardia están distraídos, lo que amplía la ventana de tiempo entre la intrusión y la detección, pasando de horas a días. La Semana Santa, al igual que otras festividades, representa una oportunidad".
En su comunicado oficial, Fortinet declaró: "Fortinet ha observado la explotación de esta vulnerabilidad en entornos reales e insta a los clientes vulnerables a instalar los parches". La compañía ha estado muy activa recientemente en la gestión de amenazas, tras haber bloqueado previamente las conexiones SSO de FortiCloud en dispositivos que ejecutaban versiones de firmware vulnerables a la CVE-2026-24858. La CISA subrayó que, aunque la directiva está dirigida principalmente a las agencias federales estadounidenses, todos los defensores del sector privado deben priorizar la aplicación de este parche y revisar todos sus productos Fortinet expuestos a internet en busca de posibles signos de intrusión.
