O que é / Contexto

Recentemente, uma vulnerabilidade crítica no FortiClient Endpoint Management Server (EMS) foi descoberta e explorada por atores maliciosos. Essa falha permitia que atacantes executassem comandos maliciosos em endpoints gerenciados, resultando no roubo de credenciais. A Fortinet já lançou uma atualização para corrigir essa falha.

Como funciona

A vulnerabilidade, identificada como CVE-2026-35616, permitia um bypass de acesso API sem autenticação, levando à escalada de privilégios. Os atacantes disfarçaram o malware como uma atualização legítima do Fortinet, usando PowerShell para executar comandos maliciosos em endpoints gerenciados.

Sinais de alerta / Como identificar

Para identificar se seu sistema foi comprometido, fique atento aos seguintes sinais:

• Modificações inesperadas nas configurações do EMS
• Presença de scripts maliciosos em endpoints
• Conexões suspeitas para o IP 83.138.53[.]110

O que fazer agora / Como se proteger

Para se proteger contra essa vulnerabilidade, siga estas recomendações:

• Atualize seu FortiClient EMS para a versão 7.4.7 ou superior
• Monitore logs de atividade em busca de comportamentos anômalos
• Implemente políticas de segurança rigorosas para o uso de PowerShell

Checklist prático

1. Atualize o FortiClient EMS imediatamente
2. Revise as configurações e políticas de segurança
3. Monitore regularmente os logs de atividade

Perguntas frequentes

O que é o CVE-2026-35616?

É uma vulnerabilidade crítica no FortiClient EMS que permite bypass de acesso API sem autenticação.

Como posso proteger meu sistema?

Atualize o FortiClient EMS para a versão mais recente e monitore atividades suspeitas.

Quais são os riscos se não atualizar?

O sistema pode ser comprometido, resultando no roubo de credenciais e execução de comandos maliciosos.

Conheça: Cofre Corporativo de MFA, Gestão de Acesso, Autenticação Forte. mfa2go.com

Fontes:
https://thehackernews.com/2026/05/threat-actors-exploit-critical.html