Fortinet lanzó una actualización de software de emergencia durante el fin de semana para abordar una vulnerabilidad explotada activamente en FortiClient EMS, una herramienta de administración de terminales para dispositivos de clientes.

La vulnerabilidad de día cero CVE-2026-35616 – tiene una calificación CVSS de 9,8 y se agregó a la Agencia de Seguridad de Infraestructura y Ciberseguridad catálogo de vulnerabilidades explotadas conocidas Lunes.

Fortinet dijo un sábado aviso de seguridad que ha visto la vulnerabilidad siendo explotada activamente en la naturaleza. La compañía emitió una revisión y planea lanzar una actualización de software más completa más adelante, aunque esa actualización aún no está disponible.

El proveedor de seguridad no dijo cuándo ocurrió el primer exploit conocido ni cuántas instancias ya se han visto afectadas.

Se observó por primera vez a atacantes desconocidos intentando explotar la vulnerabilidad el 31 de marzo, dijo a CyberScoop Benjamin Harris, fundador y director ejecutivo de watchTowr.

«Los intentos de explotación y las investigaciones fueron inicialmente limitados, lo que refleja el deseo típico de los atacantes de intentar evitar el uso de un día cero desde el descubrimiento y la observación», añadió. «A partir del 6 de abril, dada la atención y Fortinet emitiendo una revisión, la explotación ha aumentado, lo que indica un creciente interés de los atacantes y probablemente un objetivo más amplio».

Escaneos de Shadowserver encontrados casi 2.000 casos expuestos públicamente de FortiClient EMS el domingo. No está claro cuántas de esas instancias ejecutan versiones vulnerables del software.

El día cero recientemente descubierto comparte similitudes con CVE-2026-21643otro defecto no autenticado de FortiClient EMS que Fortinet revelado 6 de febrero. El vendedor y autoridades cibernéticas La semana pasada advirtió que CVE-2026-21643 había sido explotado en estado salvaje.

Los investigadores aún tienen que encontrar un vínculo significativo entre las vulnerabilidades o atribuir los ataques a actores de amenazas conocidos, pero ambos defectos fueron explotados activamente en un corto período de tiempo y ambos permiten a los atacantes ejecutar código de forma remota.

«Las soluciones de Fortinet son objetivos populares para los actores de amenazas en general, por lo que la explotación no es necesariamente sorprendente», dijo Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck.

CISA ha añadido 10 defectos de Fortinet a su catálogo de vulnerabilidades explotadas conocidas desde principios de 2025.

Si bien no existe un parche completo para CVE-2026-35616, Harris le dio crédito a Fortinet por lanzar una revisión durante un fin de semana festivo, y agregó que refleja la urgencia con la que la compañía está tratando el asunto.

«El momento en el que se intensifica la explotación salvaje de este día cero probablemente no sea una coincidencia», afirmó. «Los atacantes han demostrado repetidamente que los fines de semana festivos son el mejor momento para actuar. Los equipos de seguridad están a la mitad de sus efectivos, los ingenieros de guardia están distraídos y la ventana entre el compromiso y la detección se extiende de horas a días. La Semana Santa, como cualquier otro día festivo, representa una oportunidad».

Un portavoz de Fortinet dijo que los esfuerzos de respuesta y remediación están en curso y que la compañía se está comunicando directamente con los clientes para asesorarlos sobre las acciones necesarias.

«El mejor momento para aplicar la revisión fue ayer», dijo Harris. «El segundo mejor momento es ahora».