# CISA Ordena Agências Federais a Corrigir Vulnerabilidade Ativamente Explorada no FortiClient EMS  A **CISA** emitiu uma diretiva urgente para que agências federais corrijam suas instâncias do **FortiClient Enterprise Management Server (EMS)** até sexta-feira para resolver a **CVE-2026-35616**, uma vulnerabilidade ativamente explorada em campo. ## Detalhes da Vulnerabilidade Descoberta pela **Defused**, essa falha de segurança é um bypass de acesso à API pré-autenticação. Ela permite que atacantes contornem completamente os mecanismos de autenticação e autorização, potencialmente levando a acesso não autorizado e controle sobre os sistemas afetados. A **Fortinet** lançou hotfixes de emergência para resolver a vulnerabilidade, explicando que ela decorre de uma fraqueza no controle de acesso inadequado. Atacantes não autenticados podem explorá-la para executar código ou comandos arbitrários enviando requisições especialmente elaboradas. ## Exploração Ativa e Mitigação A **Fortinet** confirmou que atores de ameaças estão explorando ativamente essa vulnerabilidade em ataques zero-day. Administradores de TI são fortemente aconselhados a aplicar imediatamente os hotfixes fornecidos ou atualizar para a versão 7.4.7 do **FortiClient EMS** quando disponível. "A **Fortinet** observou que isso está sendo explorado em campo e insta os clientes vulneráveis a instalarem o hotfix para **FortiClient EMS** 7.4.5 e 7.4.6", declarou a empresa. ## Instâncias Expostas A **Shadowserver**, um grupo de vigilância de segurança na internet, atualmente rastreia quase 2.000 instâncias do **FortiClient EMS** expostas online, com um número significativo localizado nos Estados Unidos e na Europa. O número exato de configurações corrigidas ou vulneráveis permanece desconhecido.  *Instâncias do FortiClient EMS expostas online (Shadowserver)* ## Diretiva e Recomendações da CISA Na segunda-feira, a **CISA** adicionou a **CVE-2026-35616** ao seu Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) e determinou que as agências do Poder Executivo Civil Federal (FCEB) corrijam suas instâncias do **FortiClient EMS** até a meia-noite de quinta-feira, 9 de abril, de acordo com a Diretiva Operacional Vinculante (BOD) 22-01. "Este tipo de vulnerabilidade é um vetor de ataque frequente para atores cibernéticos maliciosos e representa riscos significativos para a empresa federal", alertou a **CISA**. A agência recomenda a aplicação de mitigações conforme as instruções do fornecedor, seguindo as orientações aplicáveis da BOD 22-01 para serviços em nuvem, ou descontinuando o uso do produto se as mitigações não estiverem disponíveis. Embora a BOD 22-01 seja específica para agências federais dos EUA, a **CISA** encoraja fortemente todos os defensores, incluindo os do setor privado, a priorizarem a correção da **CVE-2026-35616** para proteger as redes de suas organizações. ## Vulnerabilidades Recorrentes da Fortinet A **Fortinet** anteriormente corrigiu uma outra falha crítica no **FortiClient EMS** (**CVE-2026-21643**) em fevereiro, que também foi identificada como sendo explorada em ataques. Vulnerabilidades da **Fortinet** são frequentemente exploradas em campanhas de ciberespionagem e ataques de ransomware, muitas vezes como bugs zero-day, para comprometer redes corporativas. Recentemente, a **Fortinet** bloqueou conexões SSO do **FortiCloud** de dispositivos executando versões de firmware vulneráveis para mitigar ataques zero-day **CVE-2026-24858**.