CERT Polska ostrzega przed krytyczną podatnością w FortiClient EMS. Luka może zostać wykorzystana przez atakujących do nieautoryzowanego przejęcia kontroli nad systemem, co stanowi poważne zagrożenie dla całego środowiska IT organizacji. Sprawdź, czy Twoja infrastruktura jest narażona i jakie działania należy podjąć.
Krytyczna luka w FortiClient EMS – możliwe zdalne wykonanie kodu
Zespół CERT Polska wydał ostrzeżenie dotyczące krytycznego zagrożenia w FortiClient EMS i zalecił natychmiastowe wdrożenie dostępnych aktualizacji. Podatność oznaczona jako CVE-2026-35616 umożliwia zdalne wykonanie kodu przez nieautoryzowanego użytkownika, co stanowi poważne zagrożenie dla organizacji korzystających z tego rozwiązania.
Na czym polega podatność?
Luka wynika z błędu w kontroli dostępu (improper access control) w interfejsie API systemu. W praktyce oznacza to możliwość obejścia mechanizmów uwierzytelniania i wykonania nieautoryzowanych operacji poprzez odpowiednio spreparowane żądania.
Atakujący nie musi posiadać żadnych danych logowania, aby wykorzystać podatność — wystarczy dostęp sieciowy do podatnego systemu.
Możliwe skutki ataku
Wykorzystanie tej podatności może prowadzić do poważnych konsekwencji dla organizacji. W szczególności atakujący może uzyskać możliwość wykonywania poleceń lub kodu w kontekście systemu zarządzania endpointami.
Ponieważ FortiClient EMS jest centralnym elementem zarządzania bezpieczeństwem urządzeń końcowych, jego kompromitacja może oznaczać dostęp do szerokiego zakresu zasobów organizacji oraz dalszą eskalację ataku w całym środowisku IT.
Podatne wersje
Zgodnie z informacjami producenta podatność dotyczy:
- FortiClient EMS 7.4.5
- FortiClient EMS 7.4.6
Wcześniejsze wersje (np. FortiClient EMS 7.2) nie są podatne na ten konkretny problem.
Rekomendacje dla administratorów
W związku z krytycznym charakterem podatności zalecane jest natychmiastowe zastosowanie poprawek lub hotfixów udostępnionych przez producenta oraz aktualizacja do najnowszej dostępnej wersji oprogramowania (7.4.7 lub wyższej). Dodatkowo warto ograniczyć dostęp do systemu z sieci publicznej oraz zweryfikować logi pod kątem podejrzanej aktywności. W przypadku wykrycia potencjalnych oznak naruszenia bezpieczeństwa rekomendowane jest przeprowadzenie szczegółowej analizy środowiska.
CVE-2026-35616 to krytyczna podatność, która może umożliwić przejęcie kontroli nad systemem zarządzania endpointami bez uwierzytelnienia. W połączeniu z faktem jej aktywnego wykorzystania w atakach oznacza to realne zagrożenie dla organizacji. Niezwłoczna aktualizacja i weryfikacja środowiska powinny być traktowane jako priorytet.
Źródła:
O autorze: Bartosz Zając
Product manager - Opiekun marki Xopero/Sophos
Ze sprzedażą w IT związany od niemal dekady. Product manager w Arkanet odpowiedzialny za marki Xopero oraz Sophos, na co dzień zajmujący się doradztwem w zakresie ochrony sieci firmowych. W wolnych chwilach lubi czytać dobre książki kryminalne i fantasy.
