Atacantes exploram falha crítica zero-day no FortiClient EMS: o que está em jogo para as empresas
Uma vulnerabilidade crítica no FortiClient EMS, solução corporativa de gerenciamento e proteção de endpoints da Fortinet, vem sendo ativamente explorada por criminosos, incluindo em ataques do tipo zero-day. A falha, catalogada como CVE-2026-35616, foi classificada com gravidade 9,1 no CVSS, o que a coloca entre os problemas de segurança mais sérios da categoria.
O que é a CVE-2026-35616
A CVE-2026-35616 é uma vulnerabilidade de controle de acesso inadequado. Em termos práticos, isso significa que atacantes não autenticados conseguem executar código ou comandos arbitrários no servidor FortiClient EMS por meio de requisições manipuladas, sem precisar de credenciais válidas.
Na prática, esse tipo de falha dá ao invasor a possibilidade de:
– Assumir controle do servidor FortiClient EMS
– Instalar malware ou backdoors
– Usar o servidor comprometido como ponto de apoio para novas invasões na rede interna
– Exfiltrar dados sensíveis gerenciados ou acessíveis pela solução
Por ser uma falha que permite execução remota de código sem autenticação, o impacto potencial é considerado altíssimo, principalmente em ambientes corporativos com grande número de endpoints gerenciados.
Patches disponíveis e recomendação do fabricante
A Fortinet lançou correções para o FortiClient EMS nas versões 7.4.5 e 7.4.6 e orientou todos os clientes a atualizarem imediatamente. Além de disponibilizar o patch, o fabricante deixou claro que já observou a vulnerabilidade sendo utilizada em ataques reais, o que reforça o caráter emergencial da correção.
Em outras palavras: não se trata de uma falha teórica ou apenas descoberta em laboratório; ela já está sendo explorada ativamente por atores maliciosos.
Segunda falha crítica explorada em poucas semanas
Essa não é a primeira vez, em um curto espaço de tempo, que o FortiClient entra no radar de atacantes por conta de brechas graves. No fim de março, pesquisadores de segurança alertaram que outra vulnerabilidade, a CVE-2026-21643 – também permitindo execução remota de código sem autenticação – já estava sendo explorada.
O fato de duas falhas críticas, com potencial de RCE (remote code execution), terem sido usadas em ataques em tão pouco tempo mostra como soluções de segurança corporativa se tornaram um alvo estratégico. Comprometer a ferramenta que gerencia endpoints significa ganhar acesso privilegiado a uma grande parte da infraestrutura de TI da organização.
Pressão regulatória: prazo para órgãos federais corrigirem
A gravidade do problema chamou a atenção da Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA), que incluiu a CVE-2026-35616 em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV).
Ao fazer isso, a agência estabeleceu um prazo muito curto: todas as agências federais foram instruídas a aplicar o patch até quinta-feira seguinte à inclusão no catálogo. Essa imposição de prazo demonstra a percepção de risco sistêmico, sobretudo em ambientes governamentais e de infraestrutura crítica.
Resposta da Fortinet
Questionada sobre quem estaria explorando a falha e quantos clientes teriam sido afetados, a Fortinet não forneceu detalhes específicos. Um porta-voz limitou-se a afirmar que:
– Os esforços de resposta e remediação do time de PSIRT (Product Security Incident Response Team) continuam em andamento
– A empresa está se comunicando diretamente com os clientes, orientando sobre as ações necessárias para mitigar o risco
Historicamente, instâncias vulneráveis do FortiClient EMS já foram alvo de grupos de cibercrime apoiados por governos de países como Rússia e China, o que reforça a possibilidade de atuação de atores avançados interessados em espionagem ou ataques de grande escala.
Exposição na internet: um “alívio” parcial
Apesar da criticidade, há um ponto ligeiramente positivo: a superfície de exposição direta do FortiClient EMS à internet não é tão ampla quanto a de outros produtos populares. De acordo com análise conduzida por uma equipe de pesquisa de segurança, estima-se que cerca de 100 instâncias do FortiClient EMS estejam diretamente expostas na internet pública.
Isso não elimina o risco, mas reduz a quantidade de alvos facilmente descobertos por varreduras automatizadas. Ainda assim, para cada uma dessas instâncias, o potencial de impacto é enorme, já que o FortiClient EMS centraliza o gerenciamento de múltiplos endpoints, tanto de escritórios quanto remotos.
Como começaram os ataques
Infraestruturas de honeypot – ambientes intencionalmente configurados para atrair e monitorar atacantes – detectaram tentativas de exploração da CVE-2026-35616 já em 31 de março. As primeiras atividades observadas indicavam um comportamento “lento e discreto”, típico de campanhas mais direcionadas, possivelmente conduzidas por grupos avançados testando a falha e avaliando seu potencial.
No entanto, esse cenário mudou rapidamente. Em poucos dias, a exploração passou do estágio de ataques mais silenciosos e direcionados para uma fase de uso oportunista e indiscriminado, na qual diferentes grupos criminosos passam a incorporar a vulnerabilidade em seus kits de ataque, scanners e botnets.
Um especialista em inteligência de ameaças resumiu bem a situação: quando se trata de uma zero-day tão crítica, o melhor momento para aplicar o patch foi ontem; o segundo melhor momento é agora.
O que é, afinal, uma vulnerabilidade zero-day?
Uma vulnerabilidade zero-day é uma falha de segurança desconhecida pelo fornecedor do software no momento em que começa a ser explorada. Isso significa que:
– Não há correção disponível quando os ataques se iniciam
– Os atacantes têm vantagem de tempo sobre as equipes de defesa
– As organizações ficam mais expostas, principalmente se não têm camadas adicionais de proteção e monitoramento comportamental
No caso da CVE-2026-35616, quando os ataques foram primeiro identificados, o ecossistema de defesa ainda estava reagindo, ajustando assinaturas, regras de detecção e publicando atualizações.
Por que soluções de segurança viraram alvo preferencial
Atacar um produto como o FortiClient EMS é, sob a ótica do criminoso, altamente vantajoso. Ao comprometer a ferramenta que administra endpoints, o invasor pode:
– Distribuir malware como se fosse uma atualização legítima
– Desativar ou enfraquecer mecanismos de proteção nos dispositivos gerenciados
– Obter visibilidade privilegiada da infraestrutura do cliente
– Escalar privilégios e movimentar-se lateralmente com mais facilidade
Isso explica por que, nos últimos anos, houve um aumento significativo na exploração de falhas em firewalls, VPNs, soluções de endpoint e sistemas de gerenciamento de TI. Não é apenas uma questão de “vulnerabilidade pontual”, mas de uma mudança estratégica na forma de operar dos atacantes.
Medidas imediatas para empresas que usam FortiClient EMS
Para organizações que utilizam o FortiClient EMS, algumas ações são prioritárias:
1. Aplicar imediatamente os patches recomendados (7.4.5 ou 7.4.6, conforme o ambiente)
2. Verificar se a interface do EMS está exposta à internet e, se possível, restringir o acesso por VPN, segmentação de rede ou lista de IPs autorizados
3. Revisar logs de acesso e eventos em busca de comportamentos suspeitos, especialmente a partir do fim de março
4. Monitorar atividades incomuns em endpoints gerenciados, como instalações inesperadas de software, alterações de políticas ou acessos fora do padrão
5. Reforçar autenticação e privilégios: onde couber, usar MFA e revisar contas administrativas associadas à solução
Mesmo após a aplicação dos patches, a análise de possíveis comprometimentos anteriores é essencial. Em muitos casos, invasores conseguem manter persistência no ambiente, mesmo depois que a vulnerabilidade inicial é corrigida.
Boas práticas para reduzir o risco de futuras zero-days
Embora não seja possível impedir totalmente a descoberta e exploração de novas vulnerabilidades zero-day, algumas práticas reduzem bastante o impacto:
– Gestão rigorosa de patches: manter um processo maduro de atualização, com prioridade máxima para falhas críticas exploradas ativamente
– Segmentação de rede: evitar que sistemas de gerenciamento e segurança fiquem em redes planas e amplamente acessíveis
– Princípio do menor privilégio: limitar o que cada conta e serviço pode fazer, reduzindo o estrago em caso de comprometimento
– Monitoramento contínuo de ameaças: uso de soluções de detecção e resposta (EDR/XDR) e de inteligência de ameaças para identificar padrões anômalos
– Planos de resposta a incidentes bem testados, com simulações e exercícios que incluam cenários de falhas em ferramentas de segurança
Impactos de negócios: não é apenas um problema técnico
Uma falha desse tipo transcende o universo técnico e afeta diretamente o negócio:
– Interrupção de operações: uma resposta de emergência pode exigir isolamento de sistemas, causando indisponibilidade
– Prejuízo financeiro: custos de resposta, consultorias, auditorias, possíveis multas regulatórias e perda de receita
– Danos de reputação: vazamentos e interrupções de serviço atingem a confiança de clientes e parceiros
– Risco regulatório e jurídico: especialmente em setores regulados ou que tratam dados sensíveis
Por isso, o tema precisa estar na agenda da alta gestão, e não restrito às equipes de TI e segurança.
Segurança como processo contínuo
O caso da CVE-2026-35616 reforça um ponto fundamental: segurança não é um estado estático, mas um processo contínuo de avaliação de risco, correção, monitoramento e adaptação. Mesmo soluções voltadas à proteção podem se tornar vetores de ataque – e é justamente por isso que exigem governança rigorosa.
Para organizações que dependem de ferramentas como o FortiClient EMS para gerenciar e proteger seus endpoints, a mensagem é clara:
– aplicar os patches sem demora,
– revisar a postura de segurança,
– e incorporar a lição aprendida a seus processos internos.
Quanto mais rápido a vulnerabilidade for tratada e o ambiente revisado em busca de sinais de comprometimento, menor será a janela de oportunidade para os atacantes.