# CISA ordena a agencias federales parchear vulnerabilidad de FortiClient EMS explotada activamente  **CISA** ha emitido una directiva urgente para que las agencias federales parcheen sus instancias de **FortiClient Enterprise Management Server (EMS)** antes del viernes para abordar **CVE-2026-35616**, una vulnerabilidad explotada activamente en la naturaleza. ## Detalles de la Vulnerabilidad Descubierta por **Defused**, esta falla de seguridad es una omisión de acceso a la API pre-autenticación. Permite a los atacantes eludir completamente los mecanismos de autenticación y autorización, lo que podría llevar a un acceso y control no autorizados sobre los sistemas afectados. **Fortinet** lanzó parches de emergencia para abordar la vulnerabilidad, explicando que se origina en una debilidad de control de acceso inadecuado. Los atacantes no autenticados pueden explotar esto para ejecutar código o comandos arbitrarios enviando solicitudes especialmente diseñadas. ## Explotación Activa y Mitigación **Fortinet** ha confirmado que los actores de amenazas están explotando activamente esta vulnerabilidad en ataques zero-day. Se recomienda encarecidamente a los administradores de TI que apliquen inmediatamente los parches proporcionados o actualicen a la versión 7.4.7 de **FortiClient EMS** cuando esté disponible. "**Fortinet** ha observado que esto está siendo explotado en la naturaleza e insta a los clientes vulnerables a instalar el parche para **FortiClient EMS** 7.4.5 y 7.4.6", declaró la compañía. ## Instancias Expuestas **Shadowserver**, un grupo de vigilancia de seguridad en Internet, rastrea actualmente casi 2.000 instancias de **FortiClient EMS** expuestas en línea, con un número significativo ubicado en Estados Unidos y Europa. El número exacto de configuraciones parcheadas o vulnerables sigue siendo desconocido.  *Instancias de FortiClient EMS expuestas en línea (Shadowserver)* ## Directiva y Recomendaciones de CISA El lunes, **CISA** agregó **CVE-2026-35616** a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) y ordenó que las agencias del Poder Ejecutivo Civil Federal (FCEB) parcheen sus instancias de **FortiClient EMS** antes de la medianoche del jueves, 9 de abril, según la Directiva Operacional Vinculante (BOD) 22-01. "Este tipo de vulnerabilidad es un vector de ataque frecuente para actores maliciosos y representa riesgos significativos para la empresa federal", advirtió **CISA**. La agencia recomienda aplicar mitigaciones según las instrucciones del proveedor, seguir la guía aplicable de BOD 22-01 para servicios en la nube, o descontinuar el uso del producto si las mitigaciones no están disponibles. Si bien BOD 22-01 es específico para agencias federales de EE. UU., **CISA** alienta encarecidamente a todos los defensores, incluidos los del sector privado, a priorizar el parcheo de **CVE-2026-35616** para asegurar las redes de sus organizaciones. ## Vulnerabilidades Recurrentes de Fortinet **Fortinet** parcheó previamente otra falla crítica de **FortiClient EMS** (**CVE-2026-21643**) en febrero, que también fue identificada como explotada en ataques. Las vulnerabilidades de **Fortinet** son explotadas con frecuencia en campañas de ciberespionaje y ataques de ransomware, a menudo como fallas zero-day, para comprometer redes corporativas. Recientemente, **Fortinet** bloqueó las conexiones SSO de **FortiCloud** desde dispositivos que ejecutan versiones de firmware vulnerables para mitigar ataques zero-day **CVE-2026-24858**.