Vulnerabilidades

RCE 0-day no FortiClient EMS: (CVE-2026-35616)

Matheus Azzi 8 min de leitura

TL;DR: Uma vulnerabilidade crítica de Execução Remota de Código (RCE) sem autenticação (CVSS 9.1) está atingindo o FortiClient EMS versões 7.4.5 e 7.4.6. Trata-se de um 0-day com exploração ativa confirmada. Se você gerencia endpoints com EMS on-premises, a atualização para a versão 7.4.7 ou a aplicação do hotfix oficial é mandatória e urgente. O plano de gerência exposto é o risco estrutural que você precisa resolver hoje.

Contexto: O Hub de Controle na Mira

No ecossistema de segurança de uma empresa moderna, o FortiClient EMS (Enterprise Management Server) é o “cérebro” que coordena a segurança dos endpoints. Ele não é apenas um repositório de inventário; ele é o motor que distribui políticas de firewall local, define regras de compliance para o ZTNA (Zero Trust Network Access), monitora a postura de segurança dos dispositivos e serve como ponto central de confiança para todo o Security Fabric da Fortinet.

Ter o EMS comprometido não é apenas perder um servidor isolado na DMZ; é entregar as chaves de todos os notebooks, workstations e servidores da rede para um atacante. Com privilégios de administrador no EMS, um invasor ganha a capacidade de:

  1. Instalar software malicioso em massa: Usando as capacidades de distribuição de pacotes do próprio EMS.
  2. Cegar a Defesa: Desabilitar proteções de EDR, antivírus e monitoramento de rede em todo o ambiente.
  3. Exfiltrar Dados de Identidade: Acessar certificados, segredos e chaves de API usadas para integração com FortiGates.
  4. Mover-se Lateralmente: Usar o EMS como ponte para atacar controladores de domínio e servidores de banco de dados internos.

A CVE-2026-35616 é particularmente alarmante porque foi descoberta “no susto”: atacantes já estavam explorando a falha antes mesmo da Fortinet publicar o aviso oficial (PSIRT FG-IR-26-099). Quando um bug atinge esse status de zero-day com exploração em massa confirmada por órgãos como a CISA e pesquisadores da watchTowr, o tempo de resposta deixa de ser medido em dias e passa a ser medido em minutos.

Análise Técnica: Anatomia da Falha de Controle de Acesso

A vulnerabilidade é classificada como Improper Access Control (CWE-284). No contexto do FortiClient EMS, isso significa que a interface de API falha em validar corretamente se quem está fazendo a requisição tem permissão para tal — ou se sequer está autenticado.

Arquitetura de API e Superfície de Ataque

O FortiClient EMS utiliza uma arquitetura baseada em microserviços. Dois componentes fundamentais aqui são o FcmDaemon (FortiClient Management Daemon) e o FCTSvr (FortiClient Server). Esses serviços lidam com a comunicação HTTPS (geralmente na porta 443 ou 10443) tanto para a interface administrativa web quanto para o check-in dos agentes instalados nos endpoints.

A falha reside na implementação inconsistente do controle de acesso entre diferentes rotas da API. Enquanto a maioria das rotas críticas exige um token de sessão ou autenticação básica, algumas rotas específicas de gerenciamento ou sincronização ficaram “esquecidas” no processo de validação.

Um atacante pode enviar uma requisição HTTP (geralmente um POST ou GET) para um desses endpoints vulneráveis. Devido à falta de verificação, o backend do EMS processa o conteúdo da requisição como se ela viesse de uma fonte legítima e autenticada. Dependendo do endpoint atingido, isso permite injetar comandos que serão executados pelo sistema operacional com os altos privilégios do serviço do EMS (geralmente SYSTEM ou um usuário de serviço altamente privilegiado no Windows Server).

Comparativo Histórico: De CVE-2023-48788 à CVE-2026-35616

Este incidente não é um evento isolado, mas parte de uma tendência. Em 2024, o EMS foi atingido pela CVE-2023-48788, uma injeção SQL pré-autenticação. Naquela época, o problema era a falta de sanitização de inputs que eram inseridos diretamente em queries SQL.

Enquanto a CVE-2023-48788 era uma falha clássica de injeção, a CVE-2026-35616 é uma falha lógica de controle de acesso. Isso demonstra que os atacantes evoluíram: eles não estão apenas procurando por erros de sintaxe em queries, mas estão mapeando toda a árvore de rotas da API em busca de inconsistências na lógica de autorização. Se o console está exposto, cada URL de API é uma porta que o atacante vai tentar abrir.

Como Auditar: Sinais de Comprometimento (IoCs)

Se você estava rodando as versões 7.4.5 ou 7.4.6 com exposição direta ou indireta à internet nos últimos 30 dias, a auditoria é mandatória. Não confie apenas no fato de que o servidor ainda parece estar online.

1. Varredura de Logs de API

O FortiClient EMS armazena seus logs de tráfego web. Procure por requisições que retornam código HTTP 200 OK mas que não possuem headers de autenticação (Authorization ou cookies de sessão) em rotas de API administrativas.

Você pode usar o seguinte script PowerShell para uma triagem rápida no servidor EMS:

# Caminho padrão dos logs de acesso HTTP no FortiClient EMS 7.4.x
$logPath = "C:\\Program Files\\Fortinet\\FortiClientEMS\\logs\\"

# Busca por requisições POST/GET em /api/ que resultaram em 200 sem header de autorização
Get-ChildItem $logPath -Filter "*.log" |
  ForEach-Object { Get-Content $_.FullName } |
  Where-Object { $_ -match "POST|GET" -and $_ -notmatch "Authorization" -and $_ -match "/api/" -and $_ -match " 200 " } |
  Select-Object -Last 100

O que procurar: Entradas com IPs de origem desconhecidos (fora da sua rede de gerência) acessando rotas como /api/v1/management/ ou rotas de sincronização de banco de dados.

2. Verificação de Integridade de Binários

Atacantes sofisticados podem substituir binários legítimos do EMS por versões modificadas para manter persistência. Compare os hashes dos arquivos no diretório de instalação com os hashes oficiais fornecidos no advisory da Fortinet.

# Verificando hashes de binários críticos
Get-FileHash "C:\\Program Files\\Fortinet\\FortiClientEMS\\FcmDaemon.exe" -Algorithm SHA256
Get-FileHash "C:\\Program Files\\Fortinet\\FortiClientEMS\\FCTSvr.exe" -Algorithm SHA256

3. Comportamento do Sistema e EDR

Monitore o servidor onde o EMS está instalado em busca de processos filhos anômalos. Os processos FcmDaemon.exe ou FCTSvr.exe nunca deveriam spawnar cmd.exe, powershell.exe ou net.exe. Se você vir esse comportamento em seu EDR, o comprometimento é quase certo.

Plano de Remediação: Três Rotas de Ação

Rota 1: O Upgrade Definitivo (Versão 7.4.7)

A Fortinet lançou a versão 7.4.7 especificamente para sanar esta brecha. Este é o único caminho que resolve a causa raiz e consolida outras melhorias de estabilidade.

  • Ação: Baixe o instalador no portal support.fortinet.com e execute o upgrade.
  • Importante: Realize um backup completo do banco de dados SQL e das configurações do EMS antes de iniciar.

Rota 2: O Hotfix Emergencial

Para ambientes que não podem sofrer um upgrade de versão completa imediatamente devido a compliance ou janelas de manutenção, a Fortinet disponibilizou um hotfix. Ele aplica a correção cirúrgica no componente vulnerável sem alterar a versão principal do software.

  • Ação: No portal de suporte, vá em Downloads > Firmware, filtre por FortiClient EMS e busque pelo pacote de hotfix associado ao advisory FG-IR-26-099.

Rota 3: Isolamento e Local-In Policy

Se você não pode aplicar o patch agora, você deve isolar o servidor. Mudar a porta (ex: de 443 para 10443) não impede o ataque, apenas o esconde de scanners triviais.

No FortiGate à frente do EMS, implemente uma regra de firewall restritiva. Exemplo:

config firewall policy
    edit 0
        set name "RESTRICT-EMS-ACCESS"
        set srcintf "wan1"
        set dstintf "internal-dmz"
        set srcaddr "IP-ADMIN-TRUSTED" # Apenas IPs confiáveis
        set dstaddr "EMS-Server-IP"
        set action accept
        set schedule "always"
        set service "HTTPS"
    next
    edit 0
        set name "BLOCK-EMS-OTHER"
        set srcintf "wan1"
        set dstintf "internal-dmz"
        set srcaddr "all"
        set dstaddr "EMS-Server-IP"
        set action deny
        set schedule "always"
    next
end

Lição Maior: O Risco Estrutural da Gerência Exposta

A CVE-2026-35616 nos ensina uma lição que vai muito além de um patch de software: o gerenciamento deve ser tão (ou mais) seguro quanto o que ele gerencia.

O fato de um RCE em uma ferramenta de gerência ter um impacto tão devastador se deve à postura de rede. Se o seu console de administração pode ser alcançado pela internet pública sem uma identidade previamente validada, você está operando em uma corda bamba técnica.

O Princípio da Identidade Primeiro

A segurança moderna exige que o Management Plane (Plano de Gerência) seja isolado. Isso significa:

  1. Zero Trust para Admins: O acesso ao console do EMS deve exigir ZTNA. O administrador precisa provar sua identidade (MFA) e a postura do seu próprio dispositivo antes mesmo de conseguir “ver” a porta 443 do EMS.
  2. Microssegregação: O EMS deve viver em uma zona de rede que não tenha acesso irrestrito à internet. Ele precisa falar com o FortiGuard e com os seus endpoints. Qualquer outra conexão de saída deve ser bloqueada.
  3. Visibilidade de Egress: Monitore o que o seu EMS está tentando acessar na internet. Servidores de gerência não costumam navegar no Google ou acessar repositórios de código desconhecidos.

Conclusão e Checklist de Próximos Passos

Se o gerenciamento é o “castelo” da sua segurança de endpoint, a CVE-2026-35616 provou que as muralhas têm rachaduras. Aplicar o patch é consertar a rachadura; isolar o plano de gerência é construir um fosso ao redor do castelo.

Checklist de Ação Imediata:

  • [ ] Identifique todas as instâncias de FortiClient EMS (on-premises) na rede.
  • [ ] Verifique se estão nas versões 7.4.5 ou 7.4.6.
  • [ ] Se expostas à internet, bloqueie o acesso externo imediatamente via Firewall.
  • [ ] Execute a varredura de logs em busca de requisições API sem Authorization.
  • [ ] Planeje o upgrade para a versão 7.4.7 ou aplique o hotfix oficial nas próximas 24 horas.
  • [ ] Valide se o acesso administrativo agora exige VPN ou ZTNA.

Sua equipe precisa de apoio técnico para responder a este incidente ou hardening de infraestrutura Fortinet?

O SecInfra é especialista em ambientes de alta complexidade. Entre em contato conosco.

Confira nosso canal no YouTube para análises técnicas em vídeo, o EasyLab para simular essas vulnerabilidades em ambiente controlado, os nossos Treinamentos para certificações e hands-on.

Tags: #cve #forticlient #forticlient ems #vulnerabilidade

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *