Ak vaša organizácia používa Fortinet FortiClient EMS na správu koncových zariadení, máte problém. A ak ste ešte neaplikovali núdzový hotfix, máte problém veľký.
Čo sa stalo
Začiatkom apríla 2026 spoločnosť Fortinet potvrdila kritickú zero-day zraniteľnosť CVE-2026-35616 vo svojom produkte FortiClient Enterprise Management Server (EMS). Zraniteľnosť dostala CVSS skóre 9.8 z 10 — čo v praxi znamená, že horšie to už takmer byť nemôže.
Ide o chybu umožňujúcu neautentifikované vzdialené spustenie kódu (unauthenticated remote code execution). Útočník nepotrebuje žiadne prihlasovacie údaje. Stačí mu prístup k zraniteľnej inštancii FortiClient EMS a môže prevziať kontrolu nad systémom.
Prvé pokusy o zneužitie boli zaznamenané už 31. marca 2026. Po tom, čo Fortinet zverejnil informáciu a vydal núdzový hotfix 6. apríla, počet útokov dramaticky narástol. Podľa bezpečnostnej firmy Shadowserver bolo k tomuto dátumu na internete vystavených takmer 2 000 inštancií FortiClient EMS — a nie je jasné, koľko z nich beží na zraniteľných verziách.
Prečo je to nebezpečné
FortiClient EMS nie je okrajový nástroj. Je to centrálny bod správy endpointov v mnohých enterprise prostrediach. Ak útočník získa kontrolu nad EMS serverom, potenciálne získava prístup ku konfigurácii a správe všetkých koncových zariadení v sieti. To znamená:
- Laterálny pohyb po celej infraštruktúre
- Nasadenie malvéru na spravované endpointy
- Exfiltrácia citlivých dát z centrálneho bodu správy
- Úplná kompromitácia bezpečnostnej infraštruktúry
Situáciu zhoršuje fakt, že CVE-2026-35616 nie je ojedinelý prípad. Už vo februári 2026 bola odhalená podobná zraniteľnosť CVE-2026-21643, tiež umožňujúca neautentifikované vzdialené spustenie kódu v FortiClient EMS. Vzorec sa opakuje a to by malo byť varovným signálom.
Čo robiť teraz
1. Aplikujte hotfix okamžite. Fortinet vydal núdzový hotfix cez víkend 5.–6. apríla. Ak ste ho ešte nenasadili, urobte to ako prvú vec. Kompletný patch zatiaľ nie je k dispozícii — hotfix je dočasné, ale nevyhnutné riešenie.
2. Overte expozíciu. Skontrolujte, či vaše FortiClient EMS inštancie nie sú priamo dostupné z internetu. Ak áno, obmedzte prístup na minimum a implementujte sieťovú segmentáciu.
3. Skontrolujte logy. Prezrite si logy FortiClient EMS za obdobie od 31. marca. Hľadajte neobvyklé pripojenia, neautorizované zmeny konfigurácie alebo podozrivú aktivitu.
4. Zhodnoťte celkovú závislosť na jednom vendorovi. Ak vám jedna zraniteľnosť v jednom produkte ohrozuje celú infraštruktúru, je čas zamyslieť sa nad architektúrou vašej bezpečnosti. Defense-in-depth nie je len buzzword — je to nevyhnutnosť.
Širší kontext
Rok 2026 prináša jasný trend: zraniteľnosti v bezpečnostných produktoch samotných sa stávajú jedným z najväčších rizík. Firewally, VPN brány, endpoint management servery — teda práve tie systémy, ktoré majú organizáciu chrániť — sa stávajú vstupnou bránou pre útočníkov.
CISA zaradila CVE-2026-35616 do svojho katalógu Known Exploited Vulnerabilities (KEV) 6. apríla s termínom na opravu do 9. apríla pre federálne agentúry. Ak americká vláda považuje za nutné opraviť to do troch dní, vaša organizácia by nemala čakať ani hodinu.
Ako povedal jeden z bezpečnostných expertov: „Najlepší čas na aplikovanie hotfixu bol včera. Druhý najlepší čas je teraz.“
Potrebujete pomoc s auditom vašej bezpečnostnej infraštruktúry alebo riadením zraniteľností? Ozvite sa nám na cyllium.eu — pomôžeme vám identifikovať a odstrániť riziká skôr, než ich nájde niekto iný.