FortinetがFortiClientゼロデイの緊急パッチをリリース

出典：Sipa USA via Alamy Stock Photo

Fortinetは、野生で悪用されているもう1つのゼロデイ脆弱性に対する緊急パッチをデプロイしました。

土曜日、Fortinetは不適切なアクセス制御脆弱性であるCVE-2026-35616を公開しました。この脆弱性は、同社のFortiClientエンドポイント管理サーバ（EMS）ソフトウェアに存在するものです。この重大な欠陥はCVESスコア9.1を受け、悪用されるとエンドユーザーは認証なしで、細工されたリクエストを通じてコードまたはコマンドを実行できます。 

セキュリティアドバイザリーで、ネットワークセキュリティベンダーは、この脆弱性が野生で悪用されていることを確認し、顧客がFortiClient EMSバージョン7.4.5および7.4.6のホットフィックスをインストールするよう促しました。「今後のFortiClientEMS 7.4.7もこの問題の修正を含めます。その間、上記のホットフィックスで完全に防止するのに十分です」と同社はアドバイザリーで述べています。

Fortinetは、サイバーセキュリティベンダーDefusedの創設者兼CEOであるSimo Kohonenと、セキュリティ研究者のNguyen Duc Anhに、この脆弱性の発見と報告を称えました。攻撃の背後は誰かは不明ですが、Kohonenによると、単一のエクスプロイトに由来する活動であるため、悪用は限定的に見えるとのことです。

ゼロデイの悪用は、CVE-2026-21643で追跡されている別のFortiClient EMS脆弱性に続くもので、先月後半に攻撃を受けました。Defusedは重大なSQL インジェクション欠陥に対する悪用活動を発見しました。これは2月6日に最初に開示・パッチが適用されたものです。現在のところ、Kohonenは2つのCVEの重複する脅威活動の兆候はないと述べ、「これまでのところ、元のエクスプロイト以外の誰かによってゼロデイが悪用されているのを見ていません（これは、多くの人が週末または休日のためにパッチを当てていないと思うので、良いニュースです）」と付け加えています。

CVE-2026-35616 Exploitation Activity">CVE-2026-35616の悪用活動

ソーシャルメディアプラットフォームXへの投稿で、DefusedはCVE-2026-35616を「認証前のAPIアクセスバイパス」と表現し、攻撃者がAPI認可を完全に回避できることを説明しました。同社は、近く予定されているRadar機能を通じてこの脆弱性を発見したと述べました。

「Radarは基本的に大規模な異常検知器であり、我々が取り込む蜂蜜罠データの膨大な量からゼロデイや他の興味深いトレンドを見つけようとするものです」と、Kohonenは説明します。「ポイントは、興味深いイベント、ペイロード、および同様のものをDefusedユーザーに表示することです。これは、すべてのフィルタリングオプションがあっても、生の大量のイベントが入ってくるためです。」

Kohonenは、今後数日で公開される予定のRadarが、以前にCitrix NetScaler ADCおよびNetScaler Gatewayの重大な脆弱性であるCVE 2026-3055に対する悪用活動にフラグを立てていたと述べています。

サイバーセキュリティおよびインフラストラクチャセキュリティ庁（CISA）は、月曜日にCVE-2026-35616を既知の悪用される脆弱性（KEV）カタログに追加しました。通常、悪用された欠陥をパッチまたは軽減するために2週間の期間を持つ連邦民間行政府（FCEB）機関は、4月9日までにFortiClientゼロデイに対応する必要があります。

月曜日に公開されたTenable のブログ投稿で、シニアスタッフエンジニアのScott Cavezaは、GitHubで特定されたパブリックプルーフオブコンセプト（PoC）エクスプロイトに言及しました。しかし、Tenableの研究者はまだそれを検証していません。「Fortinetデバイスの過去の悪用と、いくつかの過去の脆弱性に対して公開されたエクスプロイトコードを考えると、追加のエクスプロイトがリリースされるにつれて、悪用が増加し続けると予想します」と、Cavezaは書きました。

攻撃者がFortinetの製品に飛びつく

Fortinetの製品は、広範な脅威行為者の人気ターゲットになっており、彼らはしばしば開示された脆弱性を迅速に悪用し、組織がパッチを適用するための時間をほとんど残しません。 

1月に、Fortinetは脅威行為者が重大なゼロデイの欠陥を悪用したことを確認しました。これにより、FortiCloudのシングルサインオン（SSO）機能を通じて顧客システムにログインできるようになりました。同月の早い時期に、ベンダーのFortiSIEMプラットフォームの重大なコマンドインジェクション脆弱性であるCVE-2025-64155は、広範囲にわたる悪用を受けました。 

12月初旬、Fortinetは、FortiOS、FortiWeb、FortiProxy、およびFortiSwitchManagerの製品における2つの重大な認証バイパス欠陥を開示しました。その1つ（CVE-2025-59718）は、約1週間後にCISAのKEVカタログに追加されました。11月には、攻撃者がCVE-2025-64446を悪用しました。これは、同社のFortiWeb製品ラインの重大なパストラバーサル欠陥です。 

脅威行為者は、新しいCVEを悪用する機会がない場合でも、Fortinetの製品をターゲットにしています。2月に、Amazon Web Servicesの研究者は、脅威行為者がAIを使用して数百台のFortiGateデバイスを侵害したことを発見しました。これらは弱い認証情報、公開されたポート、およびその他のセキュリティギャップを活用したものです。