Alerta de seguridad
Nivel de peligrosidad: Crítico
Descripción
El fallo (CWE-284) se localiza en el componente API de FortiClientEMS. Debido a una validación de acceso inapropiada, solicitudes HTTP/API especialmente diseñadas pueden alcanzar funciones administrativas sin necesidad de credenciales. Esto otorga al atacante la capacidad de ejecutar código con privilegios elevados, comprometiendo no solo el servidor EMS, sino potencialmente todos los endpoints gestionados.
Recursos afectados
Fortinet FortiClient EMS (Enterprise Management Server), en la rama 7.4, específicamente en las versiones 7.4.5 y 7.4.6.
Solución/Mitigación
Servicios Cloud: Fortinet ya ha remediado esta vulnerabilidad en FortiClient Cloud y FortiSASE, por lo que los usuarios de estas plataformas no requieren realizar ninguna acción.
Versiones On-Premise:
Se debe aplicar de forma inmediata el hotfix de emergencia disponible para las versiones 7.4.5 y 7.4.6.
Fortinet ha confirmado que estos hotfixes son suficientes para mitigar la falla por completo hasta el lanzamiento oficial de la versión 7.4.7, que incluirá el parche permanente.
Indicadores de compromiso
- Picos de solicitudes inusuales o patrones de User-Agent atípicos dirigidos a los puertos de gestión (TCP/443 o TCP/9443).
- Creación de nuevos administradores locales con nombres como audit, backup, system o itadmin.
- Modificaciones no autorizadas en perfiles VPN, reglas de firewall de aplicaciones o configuraciones de cumplimiento de endpoints.
Recomendaciones
- Eliminar o limitar el acceso a las interfaces de gestión de EMS desde internet, permitiendo conexiones solo mediante VPN o listas blancas de IP (Allowlisting).
- Revisar logs de tareas programadas e integraciones desde finales de marzo de 2026 para detectar actividad previa a la divulgación.
- Si se sospecha compromiso, se recomienda reconstruir la instancia del servidor EMS desde una base limpia en lugar de intentar una limpieza manual.