В начале апреля 2026 года в Банке данных угроз безопасности информации (BDU) была зарегистрирована новая критическая уязвимость в программном обеспечении для управления конечными точками от компании Fortinet. Уязвимость, получившая идентификаторы BDU:2026-04638 и CVE-2026-35616, затрагивает сервер управления FortiClient Enterprise Management Server (EMS) и связана с недостатками контроля доступа. Эксплуатация этой уязвимости позволяет злоумышленнику, действующему удаленно без аутентификации, выполнять произвольные команды на целевом сервере. Уязвимость представляет высокий риск для организаций, использующих данное решение для централизованного управления безопасностью конечных точек.
Детали уязвимости
Уязвимость была классифицирована как архитектурная и отнесена к типу "Неправильный контроль доступа". Она затрагивает версии FortiClient EMS начиная с 7.4.5 и вплоть до 7.4.7. Для оценки ее серьезности используются системы Common Vulnerability Scoring System. Базовая оценка по версии CVSS 2.0 составляет максимальные 10.0 баллов, а по более современной CVSS 3.1 - 9.8 баллов. Оба значения соответствуют критическому уровню опасности. Вектор атаки оценивается как сетевой, не требующий специальных условий эксплуатации или прав доступа. Следовательно, уязвимость может быть использована любым злоумышленником, способным отправить специально сформированный запрос к API уязвимого сервера.
Основная опасность данной уязвимости заключается в возможности полного удаленного захвата контроля над сервером управления. Вредоносный актор может выполнить произвольный код, что часто является первым шагом для установки постоянного присутствия (persistence) в сети жертвы, кражи конфиденциальных данных или перемещения по корпоративной инфраструктуре. Поскольку FortiClient EMS является центральным элементом управления агентами безопасности на рабочих станциях и серверах, его компрометация может привести к катастрофическим последствиям для всей системы защиты организации. Злоумышленник потенциально может отключить защиту на конечных точках, развернуть вредоносное ПО или похитить учетные данные.
Важно отметить, что, согласно данным BDU, для данной уязвимости уже существует эксплойт, использующий эту ошибку для атаки. Информация об эксплойте, включая возможный концепт, доступна в публичном репозитории GitHub, что значительно увеличивает вероятность массовых атак в ближайшее время. Следовательно, время на установку исправлений для администраторов предельно ограничено. Производитель, компания Fortinet, уже подтвердил наличие уязвимости и выпустил официальное исправление.
В качестве основного способа устранения уязвимости производитель и эксперты по кибербезопасности рекомендуют немедленное обновление программного обеспечения до версии, в которой ошибка исправлена. Актуальная информация и патчи опубликованы на официальном портале Fortinet в разделе PSIRT. Однако в рекомендациях BDU содержится важное предостережение, связанное с текущей геополитической обстановкой. В связи с санкциями против Российской Федерации организациям рекомендуется проводить дополнительную оценку рисков перед установкой любых обновлений из внешних источников. Это стандартная практика, направленная на минимизацию потенциальных угроз, которые могут быть замаскированы под легитимные обновления.
Если немедленное обновление невозможно, специалисты предлагают ряд компенсирующих мер для снижения риска эксплуатации. Во-первых, критически важно ограничить сетевой доступ к интерфейсам управления FortiClient EMS, используя межсетевые экраны. Идеальным подходом является полная изоляция сервера от доступа из интернета и реализация схемы "белых списков", разрешающей соединения только с доверенных административных узлов. Во-вторых, рекомендуется развернуть и настроить системы обнаружения и предотвращения вторжений (IDS/IPS) для мониторинга сетевого трафика на предмет аномальных запросов к API EMS. В-третьих, использование межсетевого экрана уровня веб-приложений (WAF) может помочь в фильтрации и блокировке подозрительных HTTP-запросов, которые могут содержать эксплойт.
Обнаружение подобной критической уязвимости в ключевом продукте для управления безопасностью подчеркивает важность комплексного подхода к защите. Ни одно программное обеспечение не является идеальным, и даже решения, созданные для обеспечения безопасности, могут содержать изъяны. Поэтому, помимо своевременного обновления, организациям необходимо внедрять принципы сегментации сети, строгого контроля доступа и постоянного мониторинга. Регулярный аудит конфигураций и анализ логов могут помочь в раннем выявлении подозрительной активности, даже если злоумышленник попытается использовать такую уязвимость для получения первоначального доступа. В конечном счете, оперативная реакция на инциденты и наличие подготовленного центра управления информационной безопасностью (SOC) являются неотъемлемыми элементами современной стратегии киберзащиты.
Ссылки
- https://bdu.fstec.ru/vul/2026-04638
- https://www.cve.org/CVERecord?id=CVE-2026-35616
- https://fortiguard.fortinet.com/psirt/FG-IR-26-099
- https://github.com/0xBlackash/CVE-2026-35616?tab=readme-ov-file
