PT-2026-30288 · Fortinet · Forticlientems

Publicado

2026-04-04

·

Atualizado

2026-07-09

·

CVE-2026-35616

CVSS v2.0

10

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do Software Vulnerável e Versões Afetadas FortiClient EMS versões 7.2.0 a 7.2.2 FortiClient EMS versões 7.4.x
Descrição Uma vulnerabilidade de controle de acesso inadequado existe no FortiClient Enterprise Management Server (EMS) que permite que atacantes remotos não autenticados executem código ou comandos arbitrários. O problema decorre de uma Injeção de SQL (CWE-89) no componente FCT DAS.exe (Data Analytics Service), onde o serviço falha ao sanitizar a entrada no protocolo de mensagens DAS. Atacantes podem enviar requisições HTTP manipuladas para acionar o procedimento armazenado estendido xp cmdshell no Microsoft SQL Server subjacente, concedendo-lhes acesso de nível SYSTEM ao servidor de gerenciamento.
Esta falha foi explorada ativamente, com aproximadamente 100 instâncias expostas à internet observadas. Agentes de ameaças, incluindo o grupo Storm-1175, utilizaram isso como plataforma para implantar o Medusa Ransomware e o EKZ Infostealer. Em algumas campanhas, os atacantes subverteram o mecanismo de distribuição de patches do EMS para enviar o infostealer para todos os endpoints gerenciados, disfarçado de um patch de segurança oficial. O EKZ Infostealer visa credenciais de navegador e cookies de sessão de navegadores baseados em Chromium e Gecko via scripts PowerShell.
Recomendações Atualize o FortiClient EMS para a versão 7.2.3 ou 7.4.1, ou aplique o hotfix de emergência específico fornecido pela Fortinet. Restrinja o acesso às portas de gerenciamento (geralmente 443 e 10443) apenas a endereços IP confiáveis. Remova o servidor EMS da exposição direta à internet e exija acesso via VPN ou listas de permissão estritas. Implemente a segmentação de rede para restringir o acesso administrativo ao servidor EMS. Audite os logs do SQL Server em busca de execuções não autorizadas de xp cmdshell ou sp configure. Verifique o diretório raiz da web do EMS em busca de arquivos .php ou .asp não autorizados. Verifique se não foram criadas políticas de endpoint não autorizadas para desativar recursos de segurança, como Proteção em Tempo Real ou Cloud Sandbox. Rotacione e redefina as credenciais administrativas e aplique a autenticação de múltiplos fatores (MFA) para contas de administrador.

Exploit

Correção

RCE

LPE

Improper Access Control

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

BDU:2026-04638
CVE-2026-35616

Produtos afetados

Forticlientems