Fortinet 在其 FortiClient 终端管理服务器 (EMS) 被安全研究人员披露存在一个重大零日漏洞后,紧急发布了热修复程序。目前,该漏洞已被威胁行为者在真实环境中主动利用。
该漏洞的编号为 CVE-2026-35616,CVSSv3 基础评分为 9.1 分(严重)。攻击者可在无需任何身份验证的情况下,完全绕过 API 的认证与授权控制机制,进而在存在漏洞的系统上执行任意代码或命令。
此漏洞被归类为 CWE-284(访问控制不当),根源于 FortiClient EMS 的 API 模块中。其利用过程无需预先身份验证、无需用户交互,也无需权限提升,这使得任何将 EMS 管理界面暴露在互联网上的企业都面临着极高的安全风险。
简单来说,未经验证的远程攻击者能够发送精心构造的 API 请求,绕过所有安全校验,从而完全接管终端管理操作权限。由于该漏洞利用方式基于网络,利用复杂度低,且对系统的机密性、完整性和可用性均构成重大威胁,因此获得了接近满分的 CVSS 评分。对于依赖 FortiClient EMS 进行终端管理的企业而言,这无疑是一个需要立刻响应的紧急安全事件。
受影响版本与修复方案
仅 FortiClient EMS 7.4.5 和 7.4.6 版本受此漏洞影响。FortiClient EMS 7.2.x 系列不受影响,相关用户无需采取额外操作。
即将发布的 FortiClient EMS 7.4.7 将包含永久性修复补丁。在该版本正式发布之前,Fortinet 已为上述两个受影响的分支立即推出了紧急热修复补丁。
漏洞发现与披露情况
该漏洞由威胁情报公司 Defused 的研究员西莫・科霍宁(Simo Kohonen)与独立研究员阮德英(Nguyen Duc Anh)共同发现。
本周早些时候,Defused 监测到该漏洞已在真实网络攻击中被主动利用,随后他们立即遵循负责任的漏洞披露流程向 Fortinet 报告了此事。此次发现利用了 Defused 即将上线的 Radar 功能,该工具旨在实时捕捉新型的漏洞利用活动。
Fortinet 在其发布的安全公告(FG-IR-26-099)中指出,此漏洞的主要影响是导致权限提升,并确认该漏洞已在野外被主动利用。
收到报告后,Fortinet 公司响应迅速,于 2026 年 4 月 4 日发布了安全公告并推出了紧急热修复程序,整个过程与漏洞的公开披露发生在同一天。
官方修复建议与防护措施
Fortinet 强烈敦促所有使用受影响版本的用户立即安装此紧急热修复程序。各受影响版本的具体安装说明,请查阅官方 FortiClient EMS 版本发布说明:
- FortiClient EMS 7.4.5:请通过飞塔文档门户,参考 7.4.5 版 EMS 发布说明中的热修复安装指南。
- FortiClient EMS 7.4.6:请通过飞塔文档门户,参考 7.4.6 版 EMS 发布说明中的热修复安装指南。
在完成补丁安装前,企业还应加强监控 EMS 日志,密切关注异常的 API 访问行为,尤其是未经身份验证的请求,这可能表明系统已遭受过攻击尝试。
此外,在打补丁期间,如果条件允许,在网络边界严格限制对 EMS 管理界面的外部访问,这是增加一道重要安全防线的有效做法。这种访问控制是基础但关键的运维安全实践。
参考来源:
Critical Fortinet FortiClient EMS 0-Day Vulnerability Actively Exploited in the Wild
https://cybersecuritynews.com/fortinet-forticlient-ems-0-day/
本文涉及的企业安全漏洞响应与防护,是一个持续学习和交流的过程。欢迎关注 云栈社区 获取更多深度技术分析和行业动态。
| 
发表于 15 小时前
|
查看: 4|
回复: 0
