Компания Fortinet выпустила обновление безопасности для решения FortiClient EMS, закрывающее уязвимость CVE-2026-59836, связанную с некорректной проверкой сертификатов. Проблема позволяет удалённому неаутентифицированному злоумышленнику выдать себя за коннектор Active Directory с использованием действительного API-ключа. В случае эксплуатации потенциальная атака может привести к несанкционированному раскрытию конфиденциальной информации. Уязвимость получила оценку 7,5 балла по шкале CVSS v3, что соответствует высокому уровню опасности.
Уязвимость CVE-2026-59836
Суть проблемы заключается в том, что в компоненте связи между FortiClient EMS и Active Directory Connector недостаточно строго проверяются сертификаты. Это позволяет атакующему, который знает корректный API-ключ, подменить легитимный коннектор и получить доступ к данным, передаваемым между этими элементами инфраструктуры. Как поясняется в бюллетене безопасности FG-IR-26-147, уязвимость классифицируется как CWE-295 - некорректная проверка сертификатов. Разработчики отметили, что на момент публикации не было подтверждённых случаев эксплуатации этой уязвимости в реальных атаках.
FortiClient EMS (Enterprise Management Server) используется организациями для централизованного управления клиентами FortiClient, включая настройку VPN, антивирусной защиты и политик безопасности. Компонент Active Directory Connector, в свою очередь, обеспечивает интеграцию EMS с доменной средой, синхронизируя учётные записи и группы пользователей. Уязвимость в механизме аутентификации этого канала связи может позволить злоумышленнику получить информацию, которая в обычных условиях должна быть скрыта.
Проблема затрагивает версии FortiClient EMS с 7.2 по 7.4.5 включительно. Версия 8.0 не подвержена уязвимости. Для устранения риска Fortinet рекомендует обновить продукт до версии 7.4.6 или выше. Пользователям версии 7.2, для которой патчи больше не выпускаются, предлагается выполнить миграцию на поддерживаемый релиз. Временные меры защиты, при невозможности немедленного обновления, не предусмотрены - только установка исправленного выпуска.
Исследователь, обнаруживший уязвимость, - Рамн Косталес де Ледесма из компании Telefonica de Espana. Он сообщил о проблеме в рамках ответственного раскрытия информации. Fortinet поблагодарила эксперта за сотрудничество.
Данная уязвимость дополняет ряд недавних находок в продуктах Fortinet, связанных с недостаточной валидацией входящих данных и ошибками аутентификации. Производитель регулярно публикует исправления для своих решений, и специалисты по кибербезопасности в корпоративном сегменте рекомендуют оперативно применять обновления, особенно для продуктов, работающих на периметре сети или в критических инфраструктурных ролях. FortiClient EMS часто развёртывается в крупных организациях, где любые сбои в механизмах аутентификации могут привести к компрометации множества конечных точек.
Поскольку эксплуатация уязвимости требует наличия API-ключа, круг потенциальных атакующих ограничен теми, кто уже имеет частичный доступ к системе или смог получить ключ одним из косвенных способов. Тем не менее сам факт возможности подмены коннектора и последующего получения данных без дополнительной аутентификации оценивается производителем как средняя угроза, хотя сторонние эксперты обращают внимание на невысокую сложность реализации атаки при наличии ключа.
Корпоративным заказчикам, использующим FortiClient EMS, настоятельно рекомендуется провести аудит установленных версий и запланировать обновление до версии 7.4.6. Для администраторов, которые не могут выполнить обновление немедленно, следует как минимум ограничить сетевой доступ к серверу EMS и контролировать использование API-ключей, хотя эти меры не являются полноценным исправлением уязвимости.
В целом ситуация демонстрирует, что даже хорошо известные механизмы защиты, такие как проверка сертификатов, могут содержать пробелы, если они реализованы не полностью. Регулярное обновление программного обеспечения остаётся наиболее надёжным способом защиты от подобных уязвимостей. Пользователи FortiClient EMS должны учитывать, что злоумышленники активно изучают корпоративные системы управления и непубличные API, поэтому даже уязвимости с оценкой "средняя" не следует игнорировать.
Ссылки