Fortinet修复FortiClient EMS零日漏洞遭黑客攻击

Fortinet在周末紧急发布了FortiClient企业管理服务器(EMS)关键漏洞的修复补丁，该漏洞被认为自3月31日以来一直遭受攻击。

漏洞详情与影响

该漏洞编号为CVE-2026-35616，属于访问控制不当漏洞，允许未经身份验证的攻击者通过精心制作的请求执行未授权的代码或命令。该漏洞获得了9.1分的关键CVSS评级。除了敦促客户为FortiClient EMS 7.4.5和7.4.6版本安装热修复补丁外，防火墙供应商还警告称已"观察到该漏洞在野外被利用"。

FortiClient EMS产品允许企业集中管理和保护远程及办公室计算机。这是过去几周内第二个遭受攻击的FortiClient关键漏洞。3月底，安全研究人员警告称CVE-2026-21643漏洞（同样导致未经身份验证的远程代码执行）正在野外被积极利用。

政府部门响应

周一，美国网络安全和基础设施安全局(CISA)将FortiClient EMS漏洞添加到已知被利用漏洞(KEV)目录中，并为所有联邦机构设定了周四的补丁安装截止期限。

当记者向Fortinet询问关于谁在滥用该安全漏洞以及有多少客户受到影响的更多细节时，该安全软件公司拒绝回答具体问题。Fortinet发言人表示"我们的PSIRT响应和修复工作仍在进行中"，并且"我们正在直接与客户沟通，就任何必要行动提供建议"。

过去，来自俄罗斯和中国的政府背景黑客曾经针对脆弱的FortiClient EMS实例发动攻击。

攻击规模分析

据VulnCheck安全研究副总裁Caitlin Condon介绍，好消息是"FortiClient EMS在互联网上的暴露范围相对较小"。Condon告诉记者，她的团队分析观察到约100个面向互联网的暴露实例。

WatchTowr首席执行官Benjamin Harris在周末告诉记者，他们安全公司的蜜罐基础设施在3月31日首次捕获了攻击者试图利用CVE-2026-35616的行为。

周一，watchTowr主动威胁情报负责人Ryan Dewhurst表示，最初的行为"代表了谨慎的'低频缓慢'利用方式"。

但他补充说攻击很快就升级了。"正如我们经常看到的，当零日漏洞被发现时，利用不再安静和有针对性——在补丁开始应用之前，明显转向机会主义和尽可能不加区别地利用其零日漏洞，"Dewhurst说。"我们以前说过，现在还要再说一遍，当野外利用变得猖獗时：应用热修复的最佳时间是昨天，第二好的时间就是现在。"

Q&A

Q1：CVE-2026-35616漏洞有多危险？

A：CVE-2026-35616是一个访问控制不当漏洞，CVSS评级高达9.1分，属于关键级别。该漏洞允许未经身份验证的攻击者通过精心制作的请求执行未授权的代码或命令，已被确认在野外遭到利用。

Q2：FortiClient EMS受影响的范围有多大？

A：据VulnCheck安全研究分析，FortiClient EMS在互联网上的暴露范围相对较小，约有100个面向互联网的暴露实例。该产品主要用于企业集中管理和保护远程及办公室计算机。

Q3：攻击者是如何利用这个漏洞的？

A：据WatchTowr的蜜罐基础设施监测，攻击者从3月31日开始利用该漏洞，最初采用谨慎的"低频缓慢"方式。随后攻击迅速升级，转向机会主义和不加区别的大规模利用模式。