米国サイバーセキュリティ・基盤セキュリティ庁(CISA)は、連邦政府機関に対し、金曜日までに積極的に悪用されている脆弱性からFortiClient Enterprise Management Server(EMS)インスタンスを保護するよう命じました。
CVE-2026-35616として追跡されているこのセキュリティ欠陥は、サイバーセキュリティ企業Defusedによって発見されました。これは認証前APIアクセスバイパスであり、攻撃者が認証と認可制御を完全にバイパスできるものとして説明されています。
Fortinet は週末に緊急ホットフィックスをリリースし、脆弱性に対処しました。セキュリティの問題は、不適切なアクセス制御の弱点に起因しており、未認証の攻撃者が特別に作成されたリクエストを使用してコードまたはコマンドを実行する可能性があると述べました。
同社はまた、脅威アクターがそれをゼロデイ攻撃で悪用していたことを警告し、IT管理者にホットフィックスを適用するか、FortiClient EMSバージョン7.4.7が利用可能になったときにアップグレードすることにより、EMSインスタンスを可能な限り早く保護するよう警告しました。
「Fortineはこれが野外で悪用されているのを観察しており、脆弱な顧客にFortiClient EMS 7.4.5および7.4.6のホットフィックスをインストールするよう促しています」と同社は述べました。
インターネットセキュリティ監視グループShadowserverは現在、オンラインで公開されている約2,000のFortiClient EMSインスタンスを追跡しており、米国とヨーロッパに1,400以上のIPがあります。ただし、既にパッチが適用されているか、脆弱な設定になっているものがいくつあるかについての詳細はありません。
月曜日に、CISA CVE-2026-35616を追加し、その既知の悪用脆弱性(KEV)カタログに登録し、連邦文民行政部門(FCEB)機関に対し、拘束力のある運用指令(BOD)22-01で義務付けられているように、木曜日の午前0時(4月9日)までにFortiClient EMSインスタンスをパッチするよう命じました。
「このタイプの脆弱性は、悪意のあるサイバー攻撃者による頻繁な攻撃ベクトルであり、連邦エンタープライズに大きなリスクをもたらします」とサイバーセキュリティ庁は警告しました。
「ベンダーの指示に従って軽減策を適用するか、クラウドサービスに対して適用可能なBOD 22-01ガイダンスに従うか、軽減策が利用できない場合は製品の使用を中止してください。」
BOD 22-01はUS連邦政府機関にのみ適用されますが、CISAはすべてのディフェンダー(民間部門を含む)に対し、CVE-2026-35616のパッチを優先し、可能な限り早く組織のネットワークを保護するよう促しました。
Fortineは別の重大なFortiClient EMS脆弱性(CVE-2026-21643)を2月にパッチしました。これは2週間未満前に攻撃で悪用されているとしてフラグが立てられました。
Fortinet脆弱性は、しばしばサイバー諜報キャンペーンやランサムウェア攻撃(多くの場合ゼロデイバグとして)で悪用され、企業ネットワークを侵害します。最近では、Fortineは脆弱なファームウェアバージョンを実行しているデバイスからのFortiCloud SSOスロットルをCVE-2026-24858ゼロデイ攻撃を軽減するためにブロックしました。
