Atacantes exploram falha crítica zero-day no FortiClient EMS: o que aconteceu e como se proteger
Uma vulnerabilidade crítica de dia zero no FortiClient EMS está sendo ativamente explorada por criminosos digitais, permitindo que invasores executem código malicioso em servidores vulneráveis sem qualquer autenticação prévia. O problema acendeu um alerta global entre equipes de segurança e administradores de redes corporativas.
A falha foi catalogada como CVE-2026-35616 e classificada como uma vulnerabilidade de “controle de acesso inadequado”. Na prática, isso significa que o mecanismo responsável por restringir quem pode executar determinadas ações dentro do FortiClient EMS falha em bloquear requisições manipuladas. Com isso, atacantes remotos não autenticados conseguem enviar comandos ou executar código de forma arbitrária no servidor afetado.
A gravidade do problema é refletida na pontuação CVSS dada à falha: 9,1 em 10, nível crítico. Diante disso, o fabricante orientou todos os clientes a atualizarem imediatamente para as versões corrigidas do FortiClient EMS, especificamente 7.4.5 e 7.4.6. Além de divulgar as atualizações, a empresa confirmou que a vulnerabilidade já está sendo usada em ataques reais, o que transforma o caso de uma simples falha técnica em um incidente ativo de segurança.
O FortiClient EMS é uma solução corporativa usada para gerenciar e proteger, de forma centralizada, estações de trabalho remotas e computadores de escritório. Justamente por ser um ponto central de controle de endpoints, o comprometimento desse sistema pode abrir caminho para movimentação lateral na rede, roubo de credenciais, instalação de ransomware e outras ações de alto impacto.
Essa não é a primeira vez, em um curto intervalo de tempo, que o FortiClient se torna alvo de exploração ativa. Poucas semanas antes, no fim de março, outra vulnerabilidade crítica, identificada como CVE-2026-21643, também passou a ser explorada. Assim como a falha mais recente, ela permitia execução remota de código sem autenticação, o que reforça o interesse contínuo de grupos de ameaça nessa superfície de ataque.
A gravidade do cenário levou a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) a incluir a vulnerabilidade do FortiClient EMS em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Ao inserir a CVE-2026-35616 nessa lista, o órgão não apenas reconhece que o problema está sendo efetivamente explorado, como também estabelece prazos rígidos: todas as agências federais foram instruídas a aplicar a correção até quinta-feira, sob pena de manter infraestruturas críticas em risco.
Questionada sobre a extensão dos ataques e o número de clientes impactados, a fornecedora de segurança preferiu não detalhar estatísticas. Um porta-voz informou apenas que a equipe de resposta a incidentes e o PSIRT continuam atuando na investigação e mitigação, e que os clientes estão sendo orientados diretamente quanto às ações necessárias. Em incidentes desse tipo, a comunicação direcionada costuma incluir recomendações específicas para cada ambiente, como coleta de evidências, revisão de logs e medidas adicionais de contenção.
Historicamente, instâncias vulneráveis do FortiClient EMS já foram alvo de grupos de ameaça avançados, incluindo atores patrocinados por governos estrangeiros, como Rússia e China. Esse histórico aumenta a preocupação de que a exploração atual não se limite a cibercrime oportunista, mas também possa ser usada em campanhas de espionagem, movimentos de longo prazo dentro de redes corporativas e ataques direcionados a infraestruturas sensíveis.
Por outro lado, há um pequeno fator positivo em meio ao cenário: a superfície de exposição do FortiClient EMS na internet não é tão ampla quanto a de outros produtos da mesma categoria. De acordo com análises de pesquisadores de segurança, o número de instâncias do FortiClient EMS acessíveis diretamente pela internet é relativamente baixo, estimado em cerca de uma centena. Embora isso não elimine o risco, reduz o potencial de ataques em massa, concentrando o problema em um conjunto mais limitado de organizações – frequentemente de maior porte ou com operações distribuídas.
Ainda assim, os ataques começaram rapidamente. A infraestrutura de honeypots de uma empresa de segurança detectou, pela primeira vez, tentativas de exploração da CVE-2026-35616 em 31 de março. Inicialmente, o comportamento parecia mais cuidadoso e discreto: testes pontuais, exploração lenta, possivelmente conduzida por grupos mais sofisticados tentando mapear o impacto da vulnerabilidade sem chamar atenção.
Esse cenário, porém, mudou em poucos dias. Especialistas em inteligência de ameaças relatam que, como ocorre com frequência em vulnerabilidades zero-day, a exploração evoluiu de ataques direcionados e silenciosos para um padrão oportunista e massivo. Assim que detalhes suficientes sobre a falha e sua exploração se disseminam, outros grupos passam a automatizar ataques, escaneando a internet em busca de instâncias vulneráveis. Em muitos casos, esse movimento acontece antes mesmo de a maior parte das organizações conseguir aplicar as correções disponíveis.
A mensagem dos especialistas é clara: o tempo é o principal inimigo. Quanto mais uma organização adia a instalação dos patches, maior a probabilidade de ser atingida por um ataque. A recomendação é tratar essa atualização como prioridade máxima, ao lado de outras atividades críticas de segurança. Em outras palavras, o momento ideal para aplicar o patch foi ontem; o segundo melhor é agora.
—
Riscos práticos para as empresas
A exploração da CVE-2026-35616 não é apenas uma questão teórica. Em um cenário real, o controle remoto do FortiClient EMS por invasores pode permitir:
– Instalação de malware e ransomware em larga escala nos endpoints gerenciados.
– Distribuição de ferramentas de acesso remoto (RATs) para persistência na rede.
– Coleta de credenciais e tokens que podem ser usados para acessar outros sistemas.
– Alteração de políticas de segurança, desativando proteções ou abrindo exceções maliciosas.
– Uso da infraestrutura comprometida como ponto de partida para ataques a parceiros e clientes.
Como o EMS gerencia múltiplos dispositivos, um único servidor vulnerável pode se tornar um multiplicador de danos, facilitando campanhas de comprometimento em massa dentro da própria organização.
—
Contenção e mitigação imediata
Enquanto o patch não é aplicado, ou mesmo após a atualização, algumas medidas adicionais são recomendadas para reduzir o risco:
1. Restringir exposição à internet
Sempre que possível, o FortiClient EMS deve ficar atrás de VPN ou acessível apenas a partir de endereços IP confiáveis. Minimizar a exposição direta diminui a superfície disponível para scanners automatizados e ataques oportunistas.
2. Reforçar a segmentação de rede
Colocar o servidor EMS em uma zona de rede isolada, com regras de firewall rígidas, impede que um comprometimento se espalhe facilmente para bancos de dados, servidores críticos ou ambientes de produção.
3. Revisar logs e indicadores de comprometimento
Administradores devem analisar cuidadosamente os registros de acesso, principalmente desde o fim de março. Atividades incomuns, comandos inesperados ou alterações não autorizadas nas políticas podem indicar exploração bem-sucedida.
4. Implantar monitoramento de comportamento
Soluções de detecção de intrusão e EDR podem ajudar a flagrar comportamentos anômalos decorrentes do uso malicioso do EMS, como ondas súbitas de instalações de software em múltiplos endpoints.
—
Boas práticas de gestão de vulnerabilidades
O caso da CVE-2026-35616 reforça alguns princípios fundamentais de segurança:
– Inventário atualizado: saber exatamente quais versões de FortiClient EMS (e de outros produtos críticos) estão em uso é essencial para responder rapidamente a novas falhas.
– Processo de patching ágil: organizações com fluxos bem definidos de avaliação de risco, testes rápidos e implantação de correções têm mais chances de mitigar ataques antes que se tornem generalizados.
– Priorização por criticidade e exposição: vulnerabilidades com pontuação alta, exploração ativa conhecida e exposição à internet devem ter prioridade absoluta no cronograma de correção.
– Simulações de incidente: exercícios de resposta, incluindo cenários de comprometimento de ferramentas de gestão centralizada, ajudam equipes a se prepararem para casos em que o “próprio sistema de proteção” é o ponto inicial de ataque.
—
Impacto estratégico para o ecossistema de segurança
Falhas em ferramentas de segurança, como o FortiClient EMS, têm um efeito particularmente sensível. Essas soluções, em tese, existem para reduzir riscos, mas quando vulneráveis acabam se tornando alvos de alto valor. Para os atacantes, comprometer uma plataforma de gerenciamento significa, muitas vezes, obter acesso privilegiado a um grande número de máquinas e dados.
Esse tipo de incidente também reforça a necessidade de defesa em profundidade: confiar em uma única camada de proteção é arriscado. Mesmo que uma ferramenta central seja comprometida, outras camadas – segmentação, controles de identidade, monitoramento de anomalias, backups seguros – podem limitar o alcance do ataque e acelerar a recuperação.
Além disso, obriga fornecedores e clientes a repensarem a forma como lidam com transparência, prazos de correção e comunicação de incidentes. Em um cenário de exploração ativa, cada dia de atraso entre a descoberta da falha, a disponibilização do patch e a aplicação nas empresas representa uma janela de oportunidade para os criminosos.
—
O que as equipes de segurança devem fazer agora
Para organizações que utilizam o FortiClient EMS, alguns passos prioritários são:
1. Confirmar a versão instalada e, se necessário, atualizar imediatamente para as versões corrigidas (7.4.5 ou 7.4.6, conforme orientação do fabricante).
2. Verificar se o EMS está exposto diretamente à internet e, se estiver, considerar o isolamento atrás de VPN ou controles adicionais de acesso.
3. Executar uma varredura retroativa de logs desde, pelo menos, o fim de março, buscando sinais de exploração, acessos incomuns ou comandos não autorizados.
4. Reforçar políticas de autenticação e privilégios em torno da administração do EMS, aplicando o princípio do menor privilégio para usuários e contas de serviço.
5. Atualizar planos de resposta a incidentes, incluindo cenários em que a ferramenta de gestão centralizada possa ter sido usada como vetor de ataque.
—
Conclusão
A exploração ativa da vulnerabilidade CVE-2026-35616 no FortiClient EMS evidencia, mais uma vez, a velocidade com que criminosos digitais se mobilizam em torno de falhas críticas, especialmente quando envolvem ferramentas amplamente utilizadas em ambientes corporativos.
Mesmo com uma superfície de exposição relativamente limitada na internet, as consequências para as organizações afetadas podem ser severas, já que o comprometimento de uma solução de gestão centralizada abre portas para ataques em cadeia. A única resposta aceitável, nesse contexto, é ação rápida: aplicar os patches disponíveis, revisar a postura de segurança e reforçar as defesas em múltiplas camadas.
Adiar a correção ou subestimar a gravidade da falha significa, na prática, oferecer aos invasores exatamente o que eles procuram: tempo e oportunidade.