Fortinet ha distribuito un aggiornamento di sicurezza straordinario per una vulnerabilità critica che interessa FortiClient Enterprise Management Server, la piattaforma centralizzata per la gestione degli endpoint aziendali. La falla, identificata come CVE-2026-35616, è già stata sfruttata attivamente in attacchi reali prima ancora che la patch fosse disponibile, un dettaglio che cambia sostanzialmente il livello di urgenza con cui le organizzazioni dovrebbero rispondere.

La vulnerabilità riguarda esclusivamente le versioni 7.4.5 e 7.4.6 di FortiClient EMS, mentre chi opera su FortiClient EMS 7.2 non è esposto.

Cosa consente di fare a un attaccante

Il problema tecnico alla base di CVE-2026-35616 è classificato come improper access control. In pratica, attraverso richieste API appositamente costruite, un attaccante non autenticato può aggirare completamente i controlli di autenticazione e autorizzazione, arrivando ad eseguire codice o comandi arbitrari sul sistema target. La società di cybersecurity Defused, che ha scoperto e segnalato la falla a Fortinet seguendo un processo di responsible disclosure, ha descritto il vettore come un bypass pre-autenticazione delle API, una categoria di vulnerabilità particolarmente pericolosa perché non richiede credenziali valide, account compromessi o interazione da parte dell’utente.

Patch FortiClient EMS

Defused ha reso noto di aver osservato lo sfruttamento attivo della falla come zero-day già nella settimana precedente alla pubblicazione della patch, prima di avvisare il vendor. Questo significa che la finestra di esposizione per i sistemi non protetti è già aperta e, stando ai dati di Shadowserver, sono oltre 2.000 le istanze di FortiClient EMS raggiungibili direttamente da internet, la maggior parte delle quali concentrate in Stati Uniti e Germania.

Come mitigare il rischio

Fortinet ha rilasciato due hotfix specifici per entrambe le versioni vulnerabili: uno dedicato a FortiClientEMS 7.4.5 e uno a FortiClientEMS 7.4.6. La correzione definitiva sarà invece integrata nella versione 7.4.7, il cui rilascio è atteso a breve. In assenza di ragioni tecniche che impediscano l’applicazione immediata dell’hotfix, Fortinet raccomanda di intervenire senza attendere il rilascio completo della versione aggiornata.

Vale la pena sottolineare che questa non è la prima vulnerabilità critica su FortiClient EMS emersa nelle ultime settimane. Solo sette giorni prima, Fortinet aveva infatti comunicato la CVE-2026-21643, un’altra falla critica attivamente sfruttata e anch’essa scoperta da Defused. Due zero-day gravi sullo stesso prodotto in rapida successione indicano che FortiClient EMS è sotto osservazione attiva da parte di attori malevoli con capacità di ricerca tecnica avanzata.

Per i team di sicurezza che gestiscono infrastrutture basate su prodotti Fortinet, la priorità è verificare immediatamente quale versione di FortiClient EMS è in produzione, applicare l’hotfix corrispondente e, se il server è esposto direttamente su internet, valutare restrizioni di accesso aggiuntive in attesa dell’aggiornamento completo a 7.4.7.

(Immagine in apertura: Shutterstock)