Fortinetは、少なくとも3月31日以降攻撃を受けていると考えられる致命的なFortiClient Enterprise Management Server(EMS)バグに対する緊急パッチを週末にリリースしました。
CVE-2026-35616として追跡されているこの欠陥は、不正なアクセス制御脆弱性で、認証されていない攻撃者が細工されたリクエストを通じて不正なコードまたはコマンドを実行できます。これはCVSS 9.1の重大度の高い評価を獲得し、FortiClient EMS 7.4.5および7.4.6のホットフィックスをインストールするよう顧客に促すことに加えて、ファイアウォールベンダーは「野生での悪用が観察されている」と警告しました。
この製品により、企業はリモートコンピュータとオフィスコンピュータの両方を一元的に管理・保護できます。このバグは、過去数週間で攻撃を受けた2番目の重大なFortiClientの欠陥です。3月下旬、セキュリティ研究者らは、認証されていないリモートコード実行につながるCVE-2026-21643が野生での悪用が積極的に行われていると警告しました。
月曜日、米国サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)はFortiClient EMSバグを既知の悪用済み脆弱性(KEV)カタログに追加し、すべての連邦機関がパッチを適用する期限を木曜日に設定しました。
The RegisterはFortinetに対し、セキュリティホールを悪用していた者は誰なのか、何人の顧客が影響を受けたのかについてさらに詳しい情報を求めました。セキュリティソフトウェア企業は特定の質問に答えることを拒否しましたが、FortinetのスポークスマンはThe Registerに対して「当社のPSIRT対応と修復活動は進行中です」と「顧客と直接コミュニケーションを取り、必要な対応についてアドバイスしています」と述べました。
過去には、ロシアと中国の政府支援を受けた悪漢が、脆弱なFortiClient EMSインスタンスをターゲットにしています。
VulnCheckのセキュリティ研究副社長Caitlin Condonによると、良いニュースは「FortiClient EMSはインターネット上の比較的小さなフットプリントを持っている」ということです。CondonはThe Registerに対して、彼女のチームの分析では約100のインターネット露出インスタンスが観察されたと述べました。
WatchTowrのCEO Benjamin Harrisは週末に、彼のセキュリティショップのハニーポットインフラストラクチャが3月31日にCVE-2026-35616を悪用しようとする攻撃者を最初にキャプチャしたと述べました。
月曜日、watchTowrのプロアクティブ脅威インテリジェンスの責任者Ryan DehurstはThe Registerに対して、初期の動作は「慎重な『低く遅い』悪用を示していた」と述べました。
しかし、彼はそれが急速に進んだと追加しました。「ゼロデイが発見されたときに定期的に見られるように、悪用は静かでターゲットを絞ったものではなくなります。パッチが適用されはじめる前に、ゼロデイを機会主義的に活用する明確なシフトがあります」とDehurstは述べました。「私たちは前に言ったことを、そして野生での悪用が蔓延したときに再び言います:ホットフィックスを適用する最良の時間は昨日であり、2番目に最良の時間は今です。」®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/06/forticlient_ems_bug_exploited/
