A CISA sürgős intézkedést rendelt el a FortiClient Enterprise Management Server (EMS) rendszereket érintő, aktívan kihasznált sérülékenység kezelése érdekében. A CVE-2026-35616 azonosítón nyomon követett sebezhetőség egy előhitelesítés nélküli API-hozzáférés megkerüléséből ered, amely lehetővé teszi a hitelesítési és jogosultságkezelési mechanizmusok teljes megkerülését.
A problémát egy nem megfelelően implementált hozzáférés-vezérlési mechanizmus okozza. Sikeres kihasználása esetén egy nem hitelesített támadó speciálisan kialakított HTTP-kérésekkel távoli kódfuttatást vagy rendszerparancs-végrehajtást érhet el az érintett EMS példányokon.
A Fortinet soron kívüli javításokat (hotfixeket) adott ki, és megerősítette, hogy a sérülékenységet már nulladik napi támadásokban is kihasználják. Az érintett verziók (7.4.5 és 7.4.6) esetében a gyártó a hotfixek haladéktalan telepítését, illetve a 7.4.7-es verzióra történő frissítést javasolja, amint az elérhetővé válik.
Megfigyelések szerint közel 2000, internet felől közvetlenül elérhető FortiClient EMS példány érintett, jelentős részük az Egyesült Államokban és Európában található. A javítási állapot és a tényleges kitettség mértéke azonban nem ismert.
A CISA a sérülékenységet felvette az ismerten kihasznált sérülékenységeket tartalmazó KEV (Known Exploited Vulnerabilities) katalógusába, és a BOD (Binding Operational Directive) 22-01 előírásai alapján kötelezte az FCEB szervezeteket a javítások telepítésére legkésőbb április 9-ig. Az ügynökség hangsúlyozta, hogy az ilyen típusú sérülékenységek gyakori belépési pontot jelentenek célzott támadások, kiberkémkedési műveletek és zsarolóvírus-kampányok során. Bár a BOD 22-01 előírás csak az amerikai szövetségi szervekre vonatkozik, a CISA szélesebb körben is javasolja a CVE-2026-35616 javításának telepítését, és a kitettség mielőbbi csökkentését.
A Fortinet termékeit érintő sérülékenységek rendszeresen szerepelnek fejlett támadási láncokban, gyakran zero-day exploitként használva vállalati hálózatok kompromittálására.