FortiClient EMS: zero-day explorado em ataques ativos

Falha zero-day no FortiClient EMS

Ameaças cibernéticas estão explorando ativamente uma vulnerabilidade zero-day no FortiClient Endpoint Management Server (EMS) para distribuir malware ladrão de credenciais. A falha, identificada como CVE-2026-35616 com CVSS 9.1, foi explorada antes mesmo da correção oficial estar disponível. A campanha foi documentada pela Arctic Wolf em relatório publicado em maio de 2026.

O ataque é particularmente traiçoeiro: os criminosos disfarçam o payload malicioso como uma atualização legítima do Fortinet endpoint. O malware é executado silenciosamente nos endpoints gerenciados, roubando credenciais de acesso corporativo sem que o usuário perceba.

Como o ataque funciona

O vetor de ataque explora a função de gerenciamento de endpoints do FortiClient EMS. O atacante envia requisições forjadas remotamente ao servidor EMS, que é responsável por distribuir políticas e atualizações para todos os endpoints da rede. Ao comprometer o EMS, o atacante converte a infraestrutura de segurança em vetor de ataque.

Uma vez infiltrado, o malware rouba credenciais armazenadas nos endpoints, incluindo senhas de rede, certificados digitais e tokens de sessão. A Arctic Wolf identificou o malware como um infostealer batizado de “EKZ”, que se mascara como atualização do Fortinet para evitar detecção.

A Fortinet lançou patches em abril de 2026, mas muitas organizações ainda não aplicaram a correção. Uma segunda vulnerabilidade crítica no mesmo produto, CVE-2026-21643, também foi identificada e corrigida.

Impacto no cenário brasileiro

O FortiClient é uma solução amplamente adotada no Brasil por empresas de médio e grande porte para gerenciamento de endpoints. A Fortinet mantém operação significativa no país, e a combinação de um EMS comprometido com roubo de credenciais representa risco direto para instituições financeiras, órgãos públicos e empresas de serviços.

Sob a LGPD, credenciais roubadas que dão acesso a bases de dados com informações pessoais configuram incidente grave. A ANPD exige notificação em até 72 horas quando o incidente pode acarretar risco aos titulares de dados.

Medidas de proteção imediatas

• Atualize o FortiClient EMS para a versão com patch — verifique o advisory da Fortinet para a versão específica
• Revise logs do EMS buscando distribuição de patches ou políticas fora do padrão, especialmente executáveis disfarçados de atualização
• Faça reset de credenciais de todos os endpoints gerenciados pelo EMS como precaução
• Implemente autenticação multifator (MFA) em todos os acessos corporativos — mesmo que as senhas tenham sido comprometidas, o MFA bloqueia o acesso não autorizado
• Monitore indicadores de comprometimento (IoCs) publicados pela Arctic Wolf no relatório sobre o EKZ infostealer

Fontes

• The Hacker News – FortiClient EMS Flaw Exploited
• Arctic Wolf – FortiClient EMS Exploited via CVE-2026-35616
• SecurityWeek – Critical FortiClient EMS Vulnerability Exploited
• watchTowr – FortiClient EMS Zero-Day Active Exploitation