Uma vulnerabilidade crítica no FortiClient Endpoint Management Server (EMS), rastreada como CVE-2026-35616 (CVSS 9.1), está sendo ativamente explorada em uma nova campanha de ataques que distribui malware de roubo de informações. A falha permite execução remota de código sem autenticação e já havia sido explorada como zero-day antes mesmo da Fortinet publicar seu advisory em abril de 2026.
Como funciona o ataque
A vulnerabilidade é uma falha de controle de acesso impróprio (CWE-284) na API do FortiClient EMS. Um atacante pode enviar requisições crafted para bypassar completamente a autenticação e executar código no servidor subjacente, sem credenciais válidas ou interação do usuário.
Segundo a Arctic Wolf, que documentou a nova onda de ataques em maio de 2026, os atacantes estão usando o próprio FortiClient como vetor: após comprometer o EMS, eles empurram comandos PowerShell maliciosos para os endpoints gerenciados, disfarçados de operações legítimas de gestão. O payload é o EKZ Infostealer, disfarçado como um falso patch do Fortinet.
O malware rouba credenciais, cookies e dados de preenchimento automático dos navegadores Chrome, Microsoft Edge, Firefox e outros baseados em Chromium e Gecko. Os dados são exfiltrados via HTTP.
Cronologia dos eventos
- 31 de março de 2026: watchTowr detecta exploração ativa do zero-day antes da Fortinet publicar advisory
- 4 de abril de 2026: Fortinet publica advisory e hotfix para CVE-2026-35616
- 6 de abril de 2026: CISA adiciona a CVE ao catálogo de vulnerabilidades conhecidas (KEV)
- Maio de 2026: Arctic Wolf documenta nova campanha usando a falha para distribuir EKZ Infostealer
Versões afetadas: FortiClient EMS 7.4.5 e 7.4.6. A versão 7.4.7, com correção definitiva, estava prevista para lançamento futuro. As versões 7.2 e anteriores não são afetadas.
Este é o segundo RCE não autenticado descoberto no FortiClient EMS em questão de semanas — a CVE-2026-21643, uma injeção SQL crítica no mesmo produto, também foi explorada ativamente.
O FortiClient EMS é amplamente usado por empresas brasileiras para gerenciar políticas de segurança, configurações VPN e conformidade de endpoints. A ANPD exige que organizações mantenham medidas técnicas adequadas de proteção. Um EMS comprometido significa que todos os endpoints gerenciados ficam vulneráveis, configurando incidente com potencial de notificação obrigatória sob a LGPD.
O que fazer agora
- Aplique o hotfix imediatamente se usa FortiClient EMS 7.4.5 ou 7.4.6 — não aguarde a versão 7.4.7
- Verifique logs do EMS em busca de requisições anômalas na API, execuções PowerShell não autorizadas ou tráfego HTTP de saída suspeito
- Revise scripts de VPN gerenciados pelo FortiClient — os atacantes usaram workflows de scripting legítimos como vetor
- Reset credenciais de navegador em endpoints gerenciados caso haja indícios de comprometimento
- Notifique a ANPD em até 72 horas se confirmar vazamento de dados pessoais, conforme exigido pela LGPD