**Fortinet**は、既に悪用されている**FortiClient EMS**のセキュリティ上の欠陥に対処するため、重大なパッチをリリースしました。 ### CVE-2026-35616：認証前のAPIアクセスバイパス **CVE-2026-35616**（CVSSスコア：9.1）と指定されたこの脆弱性は、権限昇格につながる可能性のある認証前のAPIアクセスバイパスです。**Fortinet**のアドバイザリによると、この不適切なアクセス制御の脆弱性（[CWE-284](https://cwe.mitre.org/data/definitions/284.html)）は、認証されていない攻撃者が細工されたリクエストを通じて、不正なコードやコマンドを実行することを可能にする可能性があります。 ### 対象バージョンと緩和策 この問題は、**FortiClient EMS**のバージョン7.4.5から7.4.6に影響します。バージョン7.4.7で完全なパッチが提供される予定ですが、脆弱性に対処するためのホットフィックスは既にリリースされています。ユーザーは直ちにホットフィックスを適用することを強く推奨します。 ### 発見と悪用のタイムライン **Defused Cyber**の**Simo Kohonen**氏と**Nguyen Duc Anh**氏が、この脆弱性の発見と報告で功績を称えられています。**Defused Cyber**は、今週初めにXで**CVE-2026-35616**のzero-day悪用について言及しました。**watchTowr**によると、2026年3月31日に初めてハニーポットに対する悪用試行が記録されました。 ### 潜在的な影響 この欠陥が悪用に成功すると、認証されていない攻撃者はAPI認証と認可を回避し、細工されたリクエストを通じて悪意のあるコードやコマンドを実行できるようになります。 **Fortinet**は、脆弱性のあるすべての顧客に対し、実世界での活発な悪用が確認されているため、**FortiClient EMS** 7.4.5および7.4.6のホットフィックスを直ちにインストールするよう強く求めています。 ### 背景：最近の別のFortiClient EMSの脆弱性 この展開は、**FortiClient EMS**（**CVE-2026-21643**、CVSSスコア：9.1）における別の重大な脆弱性の最近のパッチ適用とその後の活発な悪用に続くものです。同じ脅威アクターが両方の脆弱性の悪用に関与しているのか、あるいはそれらが一緒に悪用されているのかは、現時点では不明です。 ### 推奨事項 これらの脆弱性の深刻度を考慮すると、ユーザーは**FortiClient EMS**のインストールをできるだけ早く最新バージョンに更新することが推奨されます。 **watchTowr**のCEO兼創設者である**Benjamin Harris**氏は、「このzero-dayの実世界での悪用が急増したタイミングは、偶然ではない可能性が高い」と緊急性を強調しました。 彼はさらに、「攻撃者は、休日期間が移動に最適な時期であることを繰り返し示してきました。セキュリティチームは半分の人員で、オンコールエンジニアは注意散漫になり、侵害から検知までの時間が数時間から数日に伸びます。イースターのような他の休日も、機会を表します。」と付け加えました。 「残念なのは、より大きな全体像です。これは、数週間のうちに**FortiClient EMS**で2番目に認証されていない脆弱性です。」 「したがって、再び、インターネットに公開されている**FortiClient EMS**を実行している組織は、これを緊急対応状況として扱い、火曜日の朝に処理するようなものではないと考えるべきです。ホットフィックスを適用してください。攻撃者は既に先行しています。」