Scopri anche

• Claude Code: dal leak del codice sorgente alla creazione autonoma di exploit kernel
• Vulnerabilità critiche in software e firmware Gigabyte: analisi delle falle di sicurezza e aggiornamenti disponibili
• ShadowMountPlus e Poops-PS5-Java: nuovi strumenti per la scena PlayStation 5
• Vulnerabilità critiche nei router TP-Link: analisi tecnica e misure di mitigazione
• Apple rilascia iOS 18.7.7 per bloccare l'exploit DarkSword: analisi della minaccia
• La settimana che ha cambiato la sicurezza informatica: Claude Code, il leak e l'exploit FreeBSD
• DarkSword: l'exploit kit iOS che combina sei vulnerabilità per il controllo silenzioso dei dispositivi
• BD-UN-JB-Poops-Autoloader 1.01: aggiornamento SDK e supporto firmware fino a 12.00
• Google corregge CVE-2026-2441: vulnerabilità zero-day già sfruttata attivamente in Chrome
• Apple rilascia iOS 18.7.7 per bloccare l'exploit DarkSword
• Telegram sotto attacco: vulnerabilità zero-day, truffe e minacce alla sicurezza
• CVE-2026-1731: CISA conferma sfruttamento attivo della vulnerabilità critica BeyondTrust
• Apple rilascia iOS 18.7.7 per contrastare l'exploit kit DarkSword
• Vulnerabilità critiche in schede madri e software Gigabyte: milioni di sistemi a rischio
• Gemini 3 Deep Think e Agentic Vision: le nuove capacità di ragionamento di Google
• Vulnerabilità critiche investono l'ecosistema WordPress: oltre 10 milioni di siti esposti a rischi di compromissione
• Vulnerabilità critiche nei router TP-Link: patch urgenti e mitigazioni consigliate
• L'automazione aziendale tra intelligenza artificiale e processi operativi
• Samsung distribuisce la patch di sicurezza di marzo 2026 su ampia gamma di dispositivi Galaxy
• Vulnerabilità critiche nei router TP-Link: CISA e ricercatori segnalano falle diffuse

CVE-2026-35616: Fortinet corregge vulnerabilità zero-day critica in FortiClient EMS

CVE-2026-35616: Fortinet corregge vulnerabilità zero-day critica in FortiClient EMS

Fortinet ha pubblicato un aggiornamento di sicurezza fuori programma per correggere una vulnerabilità critica che affligge FortiClient EMS (Endpoint Management Server). La falla, identificata come CVE-2026-35616, è stata classificata con un punteggio CVSS tra 9.1 e 9.8 e risulta già attivamente sfruttata in ambiente reale. Si tratta di una vulnerabilità di controllo accesso improprio che consente a un attaccante remoto non autenticato di eseguire codice arbitrario sul server attraverso richieste appositamente predisposte.

Dettagli tecnici della vulnerabilità

⬆ Torna su

La vulnerabilità è stata classificata come CWE-284, ovvero un'improper access control vulnerability. La falla risiede nelle funzionalità API esposte di FortiClient EMS e permette il bypass completo dei meccanismi di autenticazione e autorizzazione. Un attaccante può inviare richieste manipulate che eludono i controlli di sicurezza e ottengono l'esecuzione di comandi non autorizzati sul sistema interessato.

La documentazione tecnica indica che la fallibilità deriva dalla mancata applicazione dei controlli di autenticazione e autorizzazione sugli endpoint API, determinando un'accettazione completa dell'input malevolo proveniente da fonti non autenticate. Negli ambienti in cui FortiClient EMS è integrato con identità aziendali o sistemi di enforcement degli endpoint, questa condizione può evolversi in una compromissione del piano di controllo centralizzato.

Sfruttamento attivo e rilevamento

⬆ Torna su

Fortinet ha confermato ufficialmente l'sfruttamento attivo della vulnerabilità, elevando la questione da priorità di patching a emergenza di incident response. I ricercatori di Defused hanno osservato lo sfruttamento zero-day della falla nella settimana precedente la pubblicazione dell'advisory, riportando successivamente la scoperta a Fortinet secondo un processo di responsible disclosure.

Secondo i dati raccolti da watchTowr, i primi tentativi di sfruttamento contro CVE-2026-35616 sono stati registrati sui propri honeypot a partire dal 31 marzo 2026. Benjamin Harris, CEO di watchTowr, ha evidenziato che la tempistica dell'intensificazione dello sfruttamento in-the-wild coincide con un weekend festivo, periodo in cui i team di sicurezza operano con organico ridotto e i tempi di rilevamento si estendono da ore a giorni.

Al momento della pubblicazione, un proof-of-concept pubblico è stato identificato su GitHub, sebbene Tenable Research non ne abbia ancora verificato il funzionamento. Data la storia precedente di sfruttamento dei dispositivi Fortinet e la disponibilità di codice di exploit per diverse vulnerabilità passate, si prevede che l'sfruttamento continuerà ad aumentare con il rilascio di exploit aggiuntivi.

Versioni interessate e rimedi disponibili

⬆ Torna su

La vulnerabilità impatta specificamente FortiClient EMS versioni 7.4.5 e 7.4.6. La versione 7.2 non risulta interessata. Fortinet ha reso disponibili hotfix per le versioni affette e ha comunicato che una correzione permanente sarà inclusa nella versione 7.4.7, il cui rilascio è atteso in futuro.

Fino al rilascio della versione 7.4.7, l'applicazione dell'hotfix costituisce l'unica misura di protezione contro questa vulnerabilità. Fortinet ha esortato i clienti esposti a installare immediatamente gli hotfix per mitigare il rischio di compromissione.

Shadowserver ha identificato oltre 2.000 istanze di FortiClient EMS esposte su Internet, con la maggior parte concentrate negli Stati Uniti e in Germania. Questa esposizione amplia la superficie d'attacco potenziale per gli attori malevoli.

Contesto e vulnerabilità correlate

⬆ Torna su

L'evento segue di pochi giorni la scoperta di un'altra vulnerabilità critica in FortiClient EMS, tracciata come CVE-2026-21643, anch'essa attivamente sfruttata. Questa seconda falla, di tipo SQL injection, è stata parimenti scoperta da Defused. Al momento non è noto se lo stesso attore malevolo sia responsabile dello sfruttamento di entrambe le vulnerabilità né se le falle siano state weaponizzate congiuntamente.

Le vulnerabilità Fortinet hanno storicamente rappresentato obiettivi comuni per gli attaccanti. Attualmente 24 CVE Fortinet figurano nella lista Known Exploited Vulnerabilities (KEV) della Cybersecurity and Infrastructure Security Agency (CISA), di cui 13 collegati a campagne ransomware. Al 6 aprile, CVE-2026-35616 non era ancora stata aggiunta alla lista KEV, ma si prevede l'inserimento imminente.

La documentazione di Tenable classifica questa falla come Vulnerability of Interest secondo il proprio sistema di classificazione Vulnerability Watch. Fortinet ha attribuito la segnalazione della vulnerabilità a Simo Kohonen di Defused e a Nguyen Duc Anh.

Raccomandazioni per gli operatori

⬆ Torna su

Gli organizzazioni che hanno distribuito FortiClient EMS devono considerare questa come una situazione di emergenza operative, anziché una normale attività di patching. L'applicazione immediata dell'hotfix è la misura prioritaria, considerando che gli attaccanti hanno già un vantaggio temporale.

Per identificare asset esposti pubblicamente che eseguono dispositivi Fortinet, è possibile utilizzare strumenti di Attack Surface Management. Tenable ha reso disponibili plugin specifici per questa vulnerabilità, accessibili attraverso la pagina dedicata a CVE-2026-35616.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La vulnerabilità zero-day in FortiClient EMS, già sfruttata attivamente con un PoC pubblico disponibile, amplifica il rischio per le oltre 2.000 istanze esposte. La natura non autenticata dell'RCE e l'integrazione con sistemi di identità aziendali potrebbero permettere agli attaccanti di accedere al piano di controllo centralizzato, estendendo potenzialmente la compromissione all'intera infrastruttura di gestione degli endpoint.

• Scenario 1: L'intensificazione dello sfruttamento potrebbe proseguire, favorita dalla disponibilità del PoC su GitHub e dalla cronistoria di vulnerabilità Fortinet sfruttate in campagne ransomware.
• Scenario 2: Le organizzazioni con FortiClient EMS integrato nei sistemi di identità potrebbero subire compromissioni più profonde, con impatto sull'autorizzazione centralizzata degli endpoint.
• Scenario 3: L'inserimento imminente nella lista KEV di CISA potrebbe accelerare le attività di patching, ma gli attori malevoli dispongono già di un vantaggio temporale significativo.

Cosa monitorare

⬆ Torna su

• L'eventuale inserimento di CVE-2026-35616 nella lista KEV di CISA e le relative scadenze di remediazione.
• La diffusione di exploit funzionanti derivati dal PoC pubblico e potenziali varianti.
• Il rilascio della versione 7.4.7 con la correzione permanente e indicatori di compromissione specifici.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://securityboulevard.com/2026/04/cve-2026-35616-fortinet-forticlientems-improper-access-control-vulnerability-exploited-in-the-wild/
• https://www.criticalpathsecurity.com/fortinet-forticlient-ems-unauthenticated-remote-code-execution-cve-2026-35616/
• https://securityaffairs.com/190392/hacking/cve-2026-35616-fortinet-fixes-actively-exploited-high-severity-flaw.html
• https://www.bleepingcomputer.com/news/security/new-fortinet-forticlient-ems-flaw-cve-2026-35616-exploited-in-attacks/
• https://www.hendryadrian.com/fortinet-patches-actively-exploited-cve-2026-35616-in-forticlient-ems/
• https://www.infosectoday.io/fortinet-patches-actively-exploited-cve-2026-35616-in-forticlient-ems/
• https://thomasharris6.wordpress.com/2026/04/05/fortinet-patches-actively-exploited-cve-2026-35616-in-forticlient-ems/