Fortinetの勧告に先立つ実環境での悪用により、認証されていない攻撃者がリモートから任意のコードを実行できる脆弱性
ハッカーは3月末以降、FortiClient Endpoint Management Server(FortiClient EMS)の重大な脆弱性を悪用しています。Fortinetはアドバイザリーを発表し、修正版がリリースされるまで影響を受ける配置に適用できる緊急ホットフィックスをリリースしました。
CVE-2026-35616として追跡されているこの脆弱性は、認証されていない攻撃者がFortiClient EMSでリモートから任意のコードを実行できるもので、組織がエンドポイントシステムの管理、監視、プロビジョニング、パッチ適用、隔離、監視に使用しています。この欠陥は共通脆弱性スコアリングシステムで9.1(重大)と評価されており、月曜日にUS Cybersecurity and Infrastructure Security Agency(CISA)によってそのKnown Exploited Vulnerabilitiesカタログに追加されました。
この脆弱性はFortiClient EMS 7.4.5および7.4.6に影響します。同社は今後のバージョン7.4.7でこの脆弱性をパッチする予定です。それまでの間、ホットフィックスをコマンドラインを介してEMS Linux Serverに適用できます。この問題はFortiClient CloudとFortiSASEではサーバー側でパッチされているため、オンプレミス配置のみが影響を受けます。
セキュリティ企業watchTowrの研究者は、Fortinetがアドバイザリーとホットフィックスをリリースする数日前の3月31日に、この脆弱性の悪用を最初に確認しました。このゼロデイの状態のため、ユーザーはパッチを適用することに加えて、配置が危険にさらされている可能性がないかチェックする必要があります。
“このゼロデイの実環境悪用が急速に増えたタイミングはおそらく偶然ではない”とwatchTowrのCEO Benjamin Harrisは CSO に述べました。”攻撃者は何度も示しているように、祝日の週末が動く最適の時間です。セキュリティチームは人員不足で、オンコールエンジニアは気を散らされており、侵害から検出までの時間は数時間から数日に伸びます。イースターは他の祝日と同様に、機会を表しています。”
今年2番目のFortiClient EMS RCE
このゼロデイインシデントは、Fortinetが2月にFortiClient EMSの別の欠陥をパッチした後に起こりました。その欠陥も攻撃者が実環境で悪用し始めていました。CVE-2026-21643として追跡されているその脆弱性は、認証されていない攻撃者が任意のコマンドを実行できるようにしたSQL注入の欠陥でした。
新しい脆弱性はFortiClient EMS APIの不適切なアクセス制御に起因する認証バイパスの問題です。これにより、攻撃者は有効な認証情報またはユーザーの操作なしに基盤となるサーバーでコードを実行できます。
“2つの脆弱性がリンクされていると確認されておらず、特定の脅威アクターへの帰属は確立されていない”とwatchTowrの研究者は述べました。
軽減と対応
ホットフィックスに加えて、組織は利用可能なログを見直して、疑わしいAPIリクエストと活動をチェックする必要があります。残念ながら、この悪意のある活動のための公開された侵害の兆候がまだないため、watchTowrはエンドポイントセキュリティポリシー、VPN構成プロファイル、アプリケーションファイアウォールルール、管理者アカウントとアクセス制御、およびエンドポイント準拠構成に対するすべての最近の変更を監査することをお勧めします。
“侵害が疑われる場合は、影響を受けたインスタンスをその場でクリーンアップしようとしないでください”と研究者は述べました。”侵害の可能性がある時間帯より前に取られた既知のいいバックアップから復元するか、EMSインスタンスを再構築してデータをそこに移行します。整合性を確実に検証できない場所では、完全な再構築が最も防御可能なアプローチです。”
