O que aconteceu
A Fortinet publicou correcoes para a CVE-2026-35616, uma vulnerabilidade critica (CVSS 9.1) no FortiClient Enterprise Management Server (EMS) que permite bypass de controle de acesso pre-autenticacao. Na pratica, um atacante remoto consegue executar codigo arbitrario no servidor sem precisar de credenciais — basta enviar requisicoes especialmente criadas ao servico.
A falha afeta as versoes 7.4.5 e 7.4.6 do FortiClient EMS e foi classificada como CWE-284 (Controle de Acesso Inadequado). A Fortinet disponibilizou hotfixes para ambas as versoes, com patch completo previsto na versao 7.4.7.
Exploracao ativa confirmada
O que torna esta CVE especialmente urgente e a confirmacao de exploracao ativa como zero-day. A empresa de seguranca Defused Cyber observou tentativas de exploracao antes mesmo da divulgacao do patch. A watchTowr registrou ataques contra honeypots desde 31 de marco de 2026 — semanas antes do advisory publico.
Em 6 de abril, a CISA adicionou a CVE-2026-35616 ao catalogo KEV (Known Exploited Vulnerabilities), obrigando agencias federais norte-americanas a aplicar correcoes ate 27 de abril. Empresas brasileiras que utilizam FortiClient EMS devem tratar essa correcao com a mesma urgencia.
Por que isso importa para equipes de infra
O FortiClient EMS e o ponto central de gerenciamento de endpoints em ambientes Fortinet. Comprometer o EMS significa obter controle sobre politicas de VPN, compliance e deploy de agentes em toda a organizacao. Um atacante com acesso ao EMS pode:
- Desabilitar politicas de seguranca dos endpoints
- Distribuir payloads maliciosos via mecanismo de atualizacao legitimo
- Exfiltrar dados de telemetria de toda a frota gerenciada
- Usar o servidor como pivot para movimentacao lateral na rede
Ambientes com FortiClient EMS exposto a internet — mesmo que atras de VPN — estao em risco se a versao nao foi atualizada.
O que fazer agora
- Aplicar o hotfix imediatamente nas versoes 7.4.5 e 7.4.6, ou planejar upgrade para 7.4.7 assim que disponivel
- Revisar logs de acesso do FortiClient EMS buscando requisicoes anomalas desde o final de marco
- Validar que o EMS nao esta acessivel diretamente pela internet — o servico deve estar segmentado e acessivel apenas pela rede de gerenciamento
- Monitorar indicadores de comprometimento (IoCs) publicados pela Fortinet e pelos pesquisadores da watchTowr
- Considerar uma varredura de integridade dos endpoints gerenciados caso o EMS tenha ficado exposto sem patch por mais de duas semanas
Contexto: Fortinet sob pressao
Esta nao e a primeira vulnerabilidade critica em produtos Fortinet explorada ativamente em 2026. O padrao reforça a importancia de manter um ciclo agressivo de patch management para dispositivos de seguranca de perimetro. Ferramentas como Wazuh e Zabbix podem automatizar a deteccao de versoes vulneraveis e alertar equipes de operacao antes que janelas de exploracao se abram.
O que observar daqui
Com a CISA mantendo prazo ate 27 de abril e pesquisadores publicando detalhes tecnicos, e provavel que exploits mais sofisticados surjam nas proximas semanas. Organizacoes que ainda nao aplicaram o patch devem considerar a hipotese de que ja foram comprometidas e conduzir uma investigacao proporcional. A versao 7.4.7 deve trazer a correcao definitiva — acompanhe o advisory da Fortinet para data exata de lancamento.