La firma de ciberseguridad Fortinet lanzó el pasado fin de semana un parche de emergencia para solucionar una vulnerabilidad crítica de control de acceso en su servidor de gestión empresarial (EMS) de FortiClient. El fallo, registrado como CVE-2026-35616 y con una puntuación CVSS de 9.1, permite que atacantes no autenticados ejecuten código o comandos maliciosos mediante el envío de solicitudes especialmente diseñadas.
Fortinet confirmó que la vulnerabilidad ha sido explotada en ataques reales desde el 31 de marzo. La compañía insta a sus clientes a instalar de inmediato los parches en las versiones 7.4.5 y 7.4.6 de FortiClient EMS. Este es el segundo fallo grave que afecta al producto en pocas semanas, tras la reciente detección de actividad maliciosa relacionada con la vulnerabilidad CVE-2026-21643.
CISA ordena la corrección inmediata
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE. UU. (CISA) añadió este lunes el CVE-2026-35616 a su catálogo de "Vulnerabilidades Explotadas Conocidas" (KEV). Bajo esta directiva obligatoria, todas las agencias federales estadounidenses deben completar la instalación del parche antes del jueves.
Un portavoz de Fortinet declinó ofrecer detalles sobre la identidad de los atacantes o el número de clientes afectados. El representante se limitó a señalar que el equipo de respuesta a incidentes de seguridad del producto (PSIRT) continúa trabajando en la mitigación y que ya se ha contactado directamente con los clientes afectados para brindarles la asistencia necesaria.
Benjamin Harris, director ejecutivo de la firma de seguridad watchTowr, confirmó a los medios que su infraestructura de 'honeypot' detectó intentos de ataque contra esta vulnerabilidad desde el 31 de marzo. Por su parte, Ryan Dewhurst, jefe de inteligencia de amenazas de la compañía, destacó que, aunque los ataques iniciales fueron cautelosos y lentos, la frecuencia de los intentos se disparó rápidamente poco después.
Caitlin Condon, vicepresidenta de investigación de seguridad en VulnCheck, señaló que el aspecto positivo es que existen relativamente pocas instancias de FortiClient EMS expuestas directamente a internet. Según el análisis de su equipo, solo se han detectado cerca de 100 instancias expuestas públicamente. No obstante, dada la historia de ataques contra productos de Fortinet por parte de grupos vinculados a Rusia y China, las empresas deben mantener un nivel de alerta elevado.
