3. mayo 2026 | Imprimir artículo | |

Fortinet CVE-2026-35616: Dos vulnerabilidades críticas en FortiClient EMS en semanas: implicaciones para equipos de TI en DACH

7 min de lectura

Fortinet ha parcheado dos vulnerabilidades críticas en FortiClient EMS en un periodo de tres semanas. CVE-2026-35616, con una puntuación CVSS de 9.1, permite la ejecución remota de código previa a la autenticación; los datos de honeypots de Shadowserver muestran intentos de explotación activos desde el 31 de marzo de 2026. El patrón demuestra que FortiClient EMS está estructuralmente expuesto y que la cadencia de parches ya no es suficiente como única medida.

Lo más importante en resumen

  • Dos parches críticos en tres semanas. CVE-2026-35616 (CVSS 9.1, RCE previo a la autenticación) y un aviso posterior sobre un vector de escalada de privilegios en FortiClient EMS: esto no es un hecho aislado, sino un patrón.
  • Inclusión en la lista KEV de CISA el 2 de abril de 2026. Las agencias federales de EE. UU. tienen un plazo de 7 días para aplicar el parche. Los equipos de TI de la región DACH sin una gobernanza similar deben establecer sus propios plazos.
  • Patrón de explotación activo desde el 31 de marzo. Shadowserver y GreyNoise registran tráfico de sondeo contra instalaciones de FortiClient EMS expuestas. Quien opere EMS sin segmentación de red está directamente expuesto.
  • El parche por sí solo no basta. La inyección JDBC como vector de ataque en FortiClient EMS significa que usuarios no autenticados pueden ejecutar consultas SQL. El control de acceso a la red en el puerto de EMS es una medida inmediata crítica.

¿Qué es FortiClient EMS? FortiClient EMS (Endpoint Management Server) es la plataforma central de gestión de Fortinet para el agente FortiClient en los endpoints. EMS gestiona las políticas de cumplimiento, las configuraciones VPN y la evaluación de la postura de seguridad de todos los endpoints gestionados en la red, lo que lo convierte en un objetivo altamente privilegiado para los atacantes.

RelacionadoFiltraciones de código fuente: cuando el proveedor de seguridad se ve comprometido antes del parche  /  CVE-2026-3854: GitHub Enterprise RCE – 88% sin parchear

Qué distingue a CVE-2026-35616 de vulnerabilidades anteriores de FortiClient

FortiClient EMS tiene un historial documentado de vulnerabilidades. CVE-2023-48788 fue una brecha de inyección SQL con CVSS 9.8, que se explotó masivamente en 2024 y fue incluida en la lista KEV de CISA. El patrón se repite: inyección basada en JDBC, acceso pre-autenticado, puntuación CVSS crítica.

CVE-2026-35616 afecta al mismo vector de ataque que el precedente: el acceso a la base de datos JDBC sin autenticación previa. Según el aviso de Fortinet del 29 de marzo de 2026, un atacante no autenticado puede ejecutar código SQL en la base de datos EMS mediante solicitudes HTTP manipuladas. La consecuencia directa es el acceso al sistema del servidor EMS con privilegios de base de datos.

Lo que diferencia este incidente del precedente de 2023: esta vez el tiempo entre la publicación del parche y la actividad del honeypot fue menor. Shadowserver registró los primeros intentos de explotación contra CVE-2026-35616 el 31 de marzo de 2026, dos días después del aviso. En el caso de CVE-2023-48788, tardó alrededor de dos semanas en producirse la primera explotación masiva.

Cifras sobre el nivel de riesgo

CVSS 9.1

Puntuación crítica para CVE-2026-35616, RCE pre-autenticada vía inyección JDBC

2 días

desde el aviso hasta los primeros intentos de explotación en honeypots (Shadowserver)

7 días

obligatoriedad de parcheo para las agencias federales de EE.UU. tras la inclusión en la KEV de CISA el 2 de abril de 2026

Por qué FortiClient EMS está estructuralmente expuesto

FortiClient EMS es conceptualmente un sistema de altos privilegios. Conoce todos los endpoints gestionados, sus estados de cumplimiento, las conexiones VPN y las políticas de seguridad. Si un atacante compromete EMS, no solo obtiene un servidor, sino un mapa completo del inventario de todos los endpoints y palancas para manipular las políticas de seguridad.

El problema real reside en la práctica de despliegue: muchas empresas de la región DACH operan FortiClient EMS sin una segmentación estricta de la red, permitiendo el acceso directo desde la red interna o, peor aún, desde segmentos DMZ. Sin embargo, EMS es un sistema de gestión que nunca debería ser accesible directamente desde la LAN de los usuarios.

«En cada segundo despliegue de FortiClient EMS que observamos en pruebas de penetración, el puerto de gestión es accesible directamente desde la red interna. Este es un error de diseño, no de configuración.»

– Alec Chizhik, securitytoday.de

Lista de comprobación de parches y endurecimiento para equipos DACH

Estado del parche primero, pero aplicar parches por sí solo no resuelve el problema estructural. Una lista de medidas combinadas:

  1. Medida inmediata: verificar la versión de EMS. Afecta a las versiones de FortiClient EMS 7.4.0 a 7.4.1 y 7.2.0 a 7.2.7. La corrección está incluida en 7.4.2 y 7.2.8. Comprobación de versión: diagnose sys version en la CLI de EMS.
  2. Restringir el acceso a la red. El puerto 443 de EMS debe ser accesible exclusivamente desde un segmento de gestión dedicado, no desde la LAN general de usuarios. Verificar y ajustar si es necesario la regla del firewall.
  3. Comprobación de exposición: ¿Es EMS accesible desde Internet? Consultar Shodan o FOFA con su propia IP externa. Las instancias de EMS accesibles públicamente son una prioridad inmediata.
  4. Revisión de registros en busca de intentos de explotación. La lista de IOC de Fortinet para CVE-2026-35616 contiene patrones específicos de solicitudes HTTP. Búsqueda en SIEM de estos patrones durante los últimos 30 días.
  5. Planificar una cadencia de doble parche. Fortinet ha publicado dos avisos críticos en tres semanas. Quienes operen EMS deberían definir un seguimiento de parches dedicado con un tiempo de reacción máximo de 72 horas para los críticos de Fortinet.

Hecho tras parchear

  • Vector RCE CVE-2026-35616 cerrado
  • Parche de escalada de privilegios (Aviso 2) aplicado
  • Estado de soporte de Fortinet para la versión confirmado
  • Documentación de parches creada para rastro de auditoría

Estructuralmente aún abierto

  • ¿Segmentación de red del puerto EMS aún no implementada?
  • Revisión de registros en busca de intentos de explotación antes de la fecha del parche
  • Falta plan de respuesta a incidentes para instancia de EMS comprometida
  • No se ha definido SLA de parches dedicado para críticos de Fortinet

Qué significa este patrón para los equipos de TI DACH

Fortinet no es un caso aislado. Check Point, Palo Alto, Ivanti, SonicWall: todos los principales proveedores de seguridad han publicado vulnerabilidades críticas en sus plataformas de gestión en los últimos 18 meses que han sido explotadas activamente. El patrón es consistente: software de gestión como objetivo de ataque.

La consecuencia estratégica: el software de gestión de seguridad debe tratarse con los mismos estándares de endurecimiento que los componentes privilegiados de Active Directory. Esto significa: puertos de gestión no accesibles desde la LAN de usuarios, seguimiento de parches dedicado, supervisión diaria de registros en busca de anomalías.

Quienes aún no hayan implementado estos principios básicos para todas sus plataformas de gestión de seguridad deberían utilizar la actual oleada de CVE de Fortinet como detonante para un proyecto de endurecimiento de la superficie de gestión, no como un evento de parcheo único.

Fuentes: Aviso PSIRT de Fortinet CVE-2026-35616 (29 de marzo de 2026) | CISA KEV (2 de abril de 2026) | Telemetría de explotación de Shadowserver Foundation

Preguntas frecuentes

¿Qué versiones de FortiClient EMS están afectadas por CVE-2026-35616?

Están afectadas las versiones de FortiClient EMS 7.4.0 a 7.4.1 y 7.2.0 a 7.2.7. Las versiones corregidas son 7.4.2 (corrige la rama 7.4.x) y 7.2.8 (corrige la rama 7.2.x). Las versiones más antiguas deben actualizarse primero a la rama menor actual según la documentación de rutas de actualización de Fortinet.

¿Cómo sé si mi instancia de EMS ya ha sido comprometida?

El Aviso PSIRT de Fortinet contiene indicadores específicos de compromiso (IOC). Busca en el registro del servidor web EMS solicitudes HTTP-POST inusuales dirigidas a rutas de acceso a la base de datos. Además: nuevas cuentas de administrador locales o tareas programadas desconocidas en el host EMS son indicios de actividad de post-explotación.

¿Debo apagar EMS hasta que se aplique el parche?

Si EMS no es accesible desde Internet y el acceso está restringido a un segmento de gestión dedicado, un apagado temporal no es obligatorio: el aislamiento de red reduce significativamente el riesgo. En caso de EMS con acceso a Internet: configurar inmediatamente el bloqueo de firewall e instalar el parche lo antes posible.

¿Vence el plazo de parcheo de CISA también para empresas europeas?

No, el plazo de parcheo KEV de CISA de 7 días solo aplica a agencias federales de EE. UU. Sin embargo, es un punto de referencia útil: si las agencias federales de EE. UU. consideran 7 días como aceptable, esto debería ser un límite máximo para empresas de la región DACH con un nivel de cumplimiento similar, no una norma.

¿Qué ocurre si contratamos FortiClient EMS como servicio en la nube?

La variante gestionada en la nube de Fortinet (FortiCloud EMS) es parcheada por Fortinet. Verifica si la instancia está realmente gestionada en la nube: muchas empresas operan «Cloud» en realidad como una VM auto-gestionada en su propio entorno en la nube. En este caso, aplican todas las obligaciones de parcheo auto-gestionado.

Redacción

Alec Chizhik escribe para SecurityToday sobre análisis de vulnerabilidades, telemetría de exploits y decisiones operativas de seguridad para equipos de TI de la región DACH. Más información en securitytoday.de

Fuente de la imagen principal: Pexels / Amar Preciado (px:19761838)

Imprimir artículo
Alec Chizhik

Sobre el autor: Alec Chizhik

Más artículos de

También disponible en

FrançaisEnglishDeutsch
Una revista de Evernine Media GmbH