Se ha identificado una campaña de explotación dirigida contra FortiClient Endpoint Management Server (EMS), en la que actores maliciosos aprovechan una vulnerabilidad de ejecución remota de código para desplegar el malware EKZ Infostealer en endpoints corporativos administrados.
La vulnerabilidad, identificada como CVE-2026-35616, afecta mecanismos de control de acceso en la API de FortiClient EMS, permitiendo a atacantes remotos no autenticados modificar configuraciones y ejecutar scripts maliciosos asociados a túneles VPN IPsec.
CVE y severidad
| CVE | Descripción | Severidad | Componente afectado |
|---|---|---|---|
| CVE-2026-35616 | Falla de control de acceso que permite ejecución remota de código | Alta | FortiClient EMS (API y perfiles VPN) |
Impacto
La explotación de esta vulnerabilidad puede permitir:
- Ejecución remota de código
- Despliegue de malware en endpoints administrados
- Robo de credenciales, cookies y tokens de sesión
- Compromiso de cuentas incluso en entornos con MFA habilitado
- Persistencia maliciosa en estaciones corporativas
Productos afectados
| Fabricante | Producto | Componentes afectados | Plataformas |
|---|---|---|---|
| Fortinet | FortiClient EMS | API de administración y perfiles VPN IPsec | Windows Server |
Solución
Actualizar FortiClient EMS a la versión corregida publicada por Fortinet para mitigar la vulnerabilidad CVE-2026-35616.
Recomendaciones
- Aplicar inmediatamente las actualizaciones de seguridad oficiales
- Restringir el acceso al puerto TCP 8013 únicamente a redes autorizadas
- Auditar configuraciones de scripts y perfiles VPN
- Revisar endpoints administrados en busca de actividad sospechosa o ejecución de scripts no autorizados
- Evaluar la rotación de credenciales y revocación de sesiones activas en sistemas potencialmente comprometidos
- Monitorear actividad relacionada con robo de cookies y tokens de autenticación