CISA Warns of Fortinet 0-Day Vulnerability Actively Exploited in Attacks
2026/04/06 CyberSecurityNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Fortinet FortiClient Enterprise Management Server (EMS) に存在する深刻なアクセス制御の脆弱性 CVE-2026-35616 を、Known Exploited Vulnerabilities (KEV) カタログに登録した。この脆弱性の追加は2026年04月06日に行われ、2026年04月09日までの対応が連邦機関に義務付けられた。
脆弱性 CVE-2026-35616 (CVSS 9.1) は、CWE-284 (不適切アクセス制御) に分類されている。この脆弱性の影響が及ぶ範囲は、FortiClient EMS バージョン 7.4.5/7.4.6 であり、7.2 系列は影響を受けない。
Fortinet の公式アドバイザリ (FG-IR-26-099) によると、この脆弱性を悪用する未認証の攻撃者は、API 認証および認可制御を回避し、細工された HTTP リクエストを通じて不正コードまたはコマンドを実行できる。これにより、公開された EMS 環境に対する、未認証のリモートコード実行 (RCE) が成立する。
このゼロデイ脆弱性の積極的な悪用は、2026年03月31日の watchTowr ハニーポットに対する攻撃として検出された。この脆弱性は、Defused Cyber の Simo Kohonen および Nguyen Duc Anh により発見され、責任ある開示が行われた。
その後に公開された緊急アドバイザリで、Fortinet は実環境での悪用を認め、影響を受ける顧客に対して、FortiClient EMS 7.4.5/7.4.6 向けのホットフィックスの即時適用を強く推奨している。
Defused Cyber による公開直後に、Fortinet が示した迅速な対応は、この脅威の深刻性/緊急性を示している。
この数週の間に発生した、2 件目の深刻な EMS の脆弱性であり、インターネットに公開される EMS 環境への、攻撃面の拡大という懸念が高まっている。
攻撃に成功した攻撃者は、以下を実行できる:
認証情報なしで API 認証および認可制御を回避
細工されたリクエストによりリモートで不正コード/コマンドを実行
初期侵入による拠点の確立と、横展開/マルウェア展開の実施
EMS 環境内での権限昇格と、接続エンドポイント・クライアントの侵害
EMS テレメトリ・エンドポイントは、登録済みエンドポイントからの受信のためにインターネット公開される必要があり、この脆弱性の攻撃面を大幅に拡大させる要因となる。
CISA による KEV 登録は、Binding Operational Directive (BOD) 22-01 に基づき、すべての連邦行政機関に対して 2026年04月09日までの対応を義務付ける。この 3 日間という極めて短い対応期限は、実環境での悪用が深刻な状況にあることを示している。
さらに The Shadowserver Foundation は、FortiClient EMS 管理者に対して緊急警告を発出している。世界中で 2,000 以上の公開インスタンスが確認され、そのうち 2 件が未認証 RCE 脆弱性により実際に悪用されていることを報告している。
訳者後書:FortiClient EMS の API における不適切なアクセス制御の脆弱性 CVE-2026-35616 が、CISA KEV に登録されました。この脆弱性の CVSS スコアは 9.1 と極めて高く、わずか 3 日以内の対策を CISA が義務付けるほど緊急性の高い状況にあります。まずは、対象バージョンの確認と、公開されているホットフィックスの即時適用が必要です。よろしければ、CVE-2026-35616 での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.