Fortinetは週末に緊急ソフトウェア更新をリリースし、顧客デバイスのエンドポイント管理ツールであるFortiClient EMSの積極的に悪用されている脆弱性に対処しました。
このゼロデイ脆弱性— CVE-2026-35616 —はCVSSスコアが9.8で、月曜日にサイバーセキュリティおよびインフラストラクチャセキュリティ庁の既知の悪用された脆弱性カタログに追加されました。
Fortinetは土曜日のセキュリティアドバイザリで、この脆弱性が野生で積極的に悪用されているのを確認したと述べました。同社はホットフィックスを発行し、後で更に包括的なソフトウェア更新をリリースする予定ですが、その更新はまだ利用できません。
セキュリティベンダーは、最初の既知のエクスプロイトがいつ発生したか、または既に何個のインスタンスが影響を受けたかは明らかにしませんでした。
watchTowrの創設者兼CEOであるBenjamin Harrisは、CyberScoopに対し、未知の攻撃者が3月31日に脆弱性を悪用しようとする最初の試みが観察されたと語りました。
「悪用の試みと調査は最初は限定的でしたが、これはゼロデイの使用を発見と観察から隠そうとする典型的な攻撃者の欲求を反映しています」と彼は付け加えました。「4月6日の時点で、注目とFortinetのホットフィックス発行により、悪用が急増し、攻撃者の関心の増加と、おそらくより広範な標的化を示しています。」
Shadowserverのスキャンでは、日曜日にFortiClient EMSの公開されているインスタンスがほぼ2,000個見つかりました。これらのインスタンスの何個が脆弱なバージョンのソフトウェアを実行しているかは不明です。
最近発見されたゼロデイはCVE-2026-21643と類似性を共有しており、これはもう一つの認証不要のFortiClient EMS欠陥で、Fortinetが2月6日に開示しました。ベンダーとサイバー当局は先週、CVE-2026-21643が野生で悪用されていると警告しました。
研究者はまだ脆弱性間に有意なリンクを見つけたり、攻撃を既知の脅威アクターに帰属させたりしていませんが、両方の欠陥は短い期間に積極的に悪用され、両方とも攻撃者がコードを遠隔実行することを可能にします。
「Fortinetソリューションは脅威アクターの人気的なターゲットなので、悪用は必ずしも驚くことではありません」と、VulnCheckのセキュリティ研究バイスプレジデントであるCaitlin Condonは述べました。
CISAは2025年初頭以来、10個のFortinet欠陥を既知の悪用された脆弱性カタログに追加しました。
CVE-2026-35616の完全なパッチがない一方で、Harrisは休日の週末で急いでホットフィックスをリリースしたFortinetに信用を与え、それが会社がどの程度緊急に対処しているかを反映していると付け加えました。
「このゼロデイの野生での悪用の急増のタイミングは、おそらく偶然ではない」と彼は述べました。「攻撃者は、休日の週末が最適な時間であることを繰り返し示しています。セキュリティチームは半分の強さにあり、オンコール エンジニアは気が散り、妥協から検出までの窓は数時間から数日に伸びます。イースターのような他の休日と同様に、機会を表しています。」
Fortinetのスポークスパーソンは、対応と復旧努力が進行中であり、会社は顧客と直接通信して必要なアクションについてアドバイスしていると述べました。
「ホットフィックスを適用する最高の時間は昨日でした」とHarrisは述べました。「2番目に最良の時間は今です。」
翻訳元: https://cyberscoop.com/fortinet-forticlient-ems-zero-day-cve-2026-35616-hotfix-known-exploited/
