Explotación de CVE-2026-35616 en FortiClient EMS para desplegar malware

Foto del autor

CyberSecureFox Editorial Team

La vulnerabilidad crítica CVE-2026-35616 en FortiClient Endpoint Management Server (EMS) está siendo explotada activamente por atacantes para la distribución masiva de malware diseñado para robar credenciales, a través de mecanismos legítimos de gestión de endpoints. Según datos de la empresa Arctic Wolf, que descubrió la campaña en mayo de 2026, los atacantes camuflan la carga útil como una actualización de Fortinet y la distribuyen a todos los dispositivos gestionados utilizando el flujo de trabajo estándar de EMS. Las organizaciones que utilicen FortiClient EMS en versiones inferiores a la 7.4.7 deben actualizar el sistema de inmediato y realizar una comprobación de posible compromiso.

Vulnerabilidad y mecanismo de explotación

La vulnerabilidad CVE-2026-35616 constituye un bypass de autenticación a nivel de API que permite a un atacante no autorizado obtener acceso con privilegios a la funcionalidad de EMS sin necesidad de autenticación previa. Según se informa, la vulnerabilidad tiene una puntuación CVSS de 9.1, lo que corresponde a un nivel de severidad crítico. El parche está disponible en FortiClient EMS a partir de la versión 7.4.7.

El principal peligro de esta vulnerabilidad radica en la naturaleza del componente explotado. EMS es un sistema centralizado para la gestión de agentes FortiClient en endpoints. Una vez obtenido acceso privilegiado a EMS, los atacantes, en la práctica, disponen de un canal de distribución de código arbitrario hacia todos los dispositivos gestionados, sin necesidad de comprometer cada uno de ellos de forma individual.

Cadena de ataque

De acuerdo con el informe de Arctic Wolf, tras explotar con éxito la vulnerabilidad, los atacantes ejecutan una secuencia de acciones que imitan operaciones administrativas legítimas:

  1. Modificación de la configuración de EMS: los atacantes desactivan los recordatorios de actualización de firmware para reducir la probabilidad de detección y modifican el perfil de acceso remoto y la política de endpoints para inyectar un script malicioso.
  2. Entrega a través del canal de gestión: los comandos maliciosos de PowerShell se envían a los endpoints gestionados mediante el mecanismo estándar de gestión de FortiClient, lo que los hace visualmente indistinguibles de las operaciones administrativas legítimas.
  3. Ejecución mediante un proceso legítimo: para ejecutar el código malicioso se utiliza fortitray.exe, un archivo ejecutable legítimo de FortiClient, que lanza un script por lotes (.cmd) mediante cmd.exe.
  4. Descarga de la carga útil: el script por lotes invoca un script de PowerShell codificado en Base64, que descarga y ejecuta el archivo ejecutable malicioso.
  5. Exfiltración de datos: los resultados del infostealer se envían al servidor de mando y control mediante HTTP POST.

Esta arquitectura de ataque merece especial atención: los atacantes han separado deliberadamente las funciones entre distintos componentes. El propio infostealer (FortiEndpoint_Patch.exe) no contiene funciones de red para la exfiltración; únicamente recopila datos y los almacena localmente en el directorio ProgramData. La transferencia de los datos robados la realiza un script de PowerShell independiente. Esta separación dificulta la detección: el análisis del archivo ejecutable por sí solo no revelará actividad de red.

Capacidades del infostealer

El archivo malicioso FortiEndpoint_Patch.exe, camuflado como una actualización de Fortinet, según Arctic Wolf, es un infostealer para Windows no documentado anteriormente. Su funcionalidad incluye:

  • Extracción de contraseñas guardadas en navegadores basados en Chromium y Gecko
  • Robo de cookies de sesión
  • Recopilación de datos de autocompletado: números de tarjetas bancarias, direcciones, números de teléfono

Las cookies de sesión robadas y las credenciales guardadas en los navegadores, señalan los investigadores, pueden proporcionar a los atacantes acceso a servicios en la nube, aplicaciones internas y otros recursos protegidos por autenticación, incluidos los casos en los que la reutilización de la sesión permite eludir la autenticación multifactor (MFA).

Indicadores de compromiso

Sobre la base de los datos publicados se conoce el siguiente indicador de red:

  • Dirección IP del servidor de mando y control: 83.138.53[.]110 (HTTP POST para exfiltración de datos)

Evaluación del impacto

Este ataque representa una amenaza elevada por varios motivos. En primer lugar, FortiClient EMS se utiliza ampliamente en entornos corporativos para la gestión centralizada de la seguridad de endpoints. La compromisión del servidor EMS convierte cada dispositivo gestionado en un objetivo potencial sin necesidad de un vector de intrusión independiente. En segundo lugar, el uso de canales de gestión y procesos legítimos de Fortinet dificulta considerablemente la detección por parte de las herramientas de monitorización configuradas para confiar en la infraestructura de gestión. En tercer lugar, el robo de cookies de sesión genera un riesgo de compromiso en cascada: los atacantes pueden obtener acceso a servicios en la nube y aplicaciones internas, eludiendo la MFA.

Debe tenerse en cuenta que la información sobre la explotación activa se basa en datos de una única fuente de investigación. En el momento de la publicación, la vulnerabilidad no figura en el catálogo CISA KEV y, en los materiales proporcionados, no aparece un boletín de seguridad oficial de Fortinet para esta CVE.

Recomendaciones de respuesta

  • Actualización inmediata: instale FortiClient EMS en la versión 7.4.7 o superior. Esto elimina la vulnerabilidad de bypass de autenticación en la API.
  • Auditoría de la configuración de EMS: revise los perfiles de acceso remoto, las políticas de endpoints y los ajustes de actualización de firmware para detectar cambios no autorizados.
  • Revisión de endpoints: busque el archivo FortiEndpoint_Patch.exe y otros archivos sospechosos en el directorio ProgramData de los dispositivos gestionados.
  • Monitorización del tráfico de red: compruebe los registros en busca de solicitudes HTTP POST dirigidas a la dirección 83.138.53[.]110.
  • Análisis de la actividad de PowerShell: revise los registros de ejecución de PowerShell en los endpoints gestionados para identificar comandos codificados en Base64 iniciados a través de fortitray.exe o cmd.exe.
  • Rotación de credenciales: si se detectan indicios de compromiso, imponga el cambio de contraseñas e invalide las sesiones de todos los usuarios de los endpoints afectados, incluidos los tokens de acceso a servicios en la nube.
  • Segmentación del acceso a EMS: limite el acceso de red a la API de FortiClient EMS, permitiendo conexiones únicamente desde direcciones administrativas de confianza.

Las organizaciones que operan FortiClient EMS deben considerar la actualización a la versión 7.4.7 como una prioridad de primer orden. Incluso en ausencia de indicios de compromiso, se recomienda auditar la configuración del servidor EMS y revisar los registros de PowerShell en los endpoints gestionados desde mayo de 2026, prestando especial atención a la actividad iniciada a través de fortitray.exe.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio