Zero-day CVSS 9.8 en FortiClient EMS ya se explota activamente: CVE-2026-35616 y el checklist urgente para sysadmins en México

Si tu empresa usa FortiClient EMS versión 7.4.5 o 7.4.6, cierra esta pestaña, abre tu consola y aplica el hotfix de Fortinet. Ya. En serio. Luego regresas a leer el resto.

Para los demás: aquí está el resumen de por qué esto está ardiendo en todos los equipos de seguridad del mundo esta semana.

Qué es FortiClient EMS y por qué importa

FortiClient EMS (Endpoint Management Server) es el sistema centralizado con el que las empresas administran todos sus endpoints de Fortinet: VPN, políticas de acceso, cumplimiento, agentes. Si tu empresa tiene Fortiguard o usa FortiClient para VPN, hay una probabilidad real de que también tenga un servidor EMS corriendo en algún lado. Es el corazón del ecosistema Fortinet en redes corporativas, y eso lo convierte en un objetivo jugoso.

Miles de empresas medianas y grandes en México, en manufactura, finanzas, retail y gobierno, usan esta stack. No es un nicho de seguridad: es infraestructura cotidiana.

CVE-2026-35616: los datos sin adorno

La vulnerabilidad es un fallo de control de acceso impropio (CWE-284) que permite a un atacante no autenticado enviar peticiones HTTP especialmente construidas al API de FortiClient EMS y saltarse completamente la capa de autenticación y autorización. Una vez dentro, puede ejecutar código arbitrario con los privilegios del servidor.

Eso significa: sin usuario, sin contraseña, sin estar en la red interna. Si tu servidor EMS tiene la interfaz de management expuesta a internet, cualquier wey con conexión y el exploit puede entrar.

Los números concretos según el advisory oficial de Fortinet (FG-IR-26-099) y la ficha en NVD:

• CVSS: 9.8 (Crítico) - AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
• Versiones afectadas: FortiClient EMS 7.4.5 y 7.4.6 únicamente
• Tipo de ataque: Pre-autenticación, remoto, sin interacción del usuario
• Patch completo: Pendiente en 7.4.7 (no disponible aún al 9 de abril)
• Fix actual: Hotfix de emergencia disponible para ambas versiones

Nota sobre el CVSS: Fortinet (advisory oficial FG-IR-26-099) reporta CVSS 9.1, mientras que NVD muestra 9.8. Existe discrepancia entre fuentes oficiales.

La cronología: explotación antes del parche

Esto es lo que hace que la situación sea especialmente cabrona:

• 31 de marzo: Los honeypots de watchTowr empezaron a registrar intentos de explotación activa. En ese momento no había ningún advisory público, ningún parche, nada. Zero-day real.
• 4 de abril (sábado): Fortinet publicó su advisory de emergencia y distribuyó los hotfixes. Llegaron en fin de semana de Semana Santa.
• 6 de abril: CISA añadió CVE-2026-35616 al Known Exploited Vulnerabilities catalog. El mismo día apareció un PoC funcional en GitHub, lo que bajó el nivel de habilidad requerida para explotar la falla a prácticamente cero.
• 9 de abril: Fecha límite para agencias federales de EE.UU. según el BOD 22-01. Para ti, fecha en que ya debería estar parcheado.

CyberScoop reportó que la actividad de explotación iba “ramping up” incluso antes de que se publicara el parche, con múltiples actores mostrando interés creciente. Shadowserver identificó cerca de 2,000 instancias de FortiClient EMS expuestas directamente a internet al 6 de abril.

Por qué este fallo es distinto a otros

No es solo el CVSS 9.8. Es la combinación de factores:

1. Pre-auth: No necesitas comprometer una cuenta primero. Entras directo.
2. Sin parche completo: La versión 7.4.7 no existe todavía. El hotfix funciona, pero tienes que saber que es un hotfix, buscarlo y aplicarlo manualmente, no aparece como un update normal.
3. PoC público: Con el exploit en GitHub, cualquiera puede hacer un script de barrido y atacar masivamente.
4. Patrón de reincidencia: Esta es la segunda vulnerabilidad crítica pre-auth en FortiClient EMS en meses. El anterior, CVE-2026-21643, era una SQL injection también con CVSS 9.1 que se explotó activamente. Fortinet tiene un problema sistemático en este producto específico.

Como nota al margen: ya escribimos sobre la falla crítica CVE-2026-3055 en Citrix NetScaler que también se explotó activamente esta semana. Si tu empresa usa alguna de estas dos soluciones de acceso remoto, estás en un mes particularmente agitado.

Checklist de acción inmediata para sysadmins mexicanos

Sin rodeos. Si administras FortiClient EMS, esto es lo que haces hoy:

1. Verificar versión

# En la consola web de EMS: System > Dashboard > versión
# O en CLI: get system status

Si estás en 7.4.5 o 7.4.6, estás expuesto. Si estás en 7.2.x o anterior, el advisory dice que no eres vulnerable (verifica con tu vendor de todas formas).

2. Aplicar el hotfix ahora

Descarga el hotfix desde el portal de soporte de Fortinet con tu cuenta de soporte activa. El hotfix aplica sin downtime según Fortinet. Aplícalo igual fuera de horario si puedes.

3. Aislar la interfaz de management

Si no puedes parchear de inmediato, lo más urgente es esto: la interfaz de management del EMS no debe ser accesible desde internet. Debe estar detrás de VPN o restringida por IP a rangos de administración.

Regla mínima de emergencia: denegar todo acceso externo al puerto HTTPS del EMS
hasta que el hotfix esté instalado.

4. Revisar logs de las últimas dos semanas

La explotación arrancó el 31 de marzo. Revisa logs del EMS buscando peticiones anómalas al API, errores de autenticación extraños o accesos a endpoints que normalmente no se tocan. Si tienes un SIEM, crea una alerta específica para el advisory FG-IR-26-099.

5. Notificar a dirección y stakeholders

Esto es un CVSS 9.8 con explotación activa confirmada. No es un ticket de baja prioridad. Si eres el sysadmin y tienes que convencer a tu jefe de aprobar trabajo urgente fuera de horario, mándale la ficha de CISA KEV. CISA tiene mucha más autoridad persuasiva que tú ante un director que no quiere aprobar horas extra.

El contexto para empresas en México

FortiGate y FortiClient son de los firewalls y soluciones de endpoint más vendidos en el mercado corporativo mexicano. La instalación base es grande. El problema específico es que muchos despliegues en México y LATAM tienen el EMS expuesto a internet porque simplifica el onboarding de usuarios remotos y nadie revisó las reglas de firewall cuando lo instalaron.

La otra variable mexicana: muchos equipos de IT en empresas medianas no tienen suscripción de soporte activa con Fortinet, lo que significa que no pueden descargar el hotfix directamente. Si estás en esa situación, tienes que llamar a tu distribuidor o reseller (Ingram, Aranctel, S&P Global Solutions, los que sean) hoy mismo. No mañana.

Y si tu empresa usa perimetro de seguridad con herramientas heredadas o tiene poca visibilidad de lo que corre en la red, esto es un recordatorio de por qué la seguridad del control plane es tan crítica como la del endpoint. No sirve de nada tener seguridad en los equipos de usuarios si el servidor que los administra tiene una puerta abierta.

¿Qué sigue?

Fortinet tiene en camino la versión 7.4.7 con el fix permanente integrado. Sin fecha oficial confirmada todavía. Mientras tanto, el hotfix es la única solución completa disponible.

watchTowr, Arctic Wolf y Tenable ya tienen detecciones activas. Si tienes alguno de estos en tu stack, verifica que tengan las firmas del 6 de abril para arriba.

La comunidad de seguridad está monitoreando activamente el PoC de GitHub para ver si escala a exploits más sofisticados. La ventana para parchear antes de que lleguen campañas masivas de ransomware u otros actores oportunistas se está cerrando rápido.

¿Ya tienes FortiClient EMS en tu empresa o tu equipo está evaluando la seguridad de su perímetro en este contexto? Cuéntanos en los comentarios.

Fuentes

• Fortinet Security Advisory FG-IR-26-099
• CISA Known Exploited Vulnerabilities Catalog
• The Hacker News: Fortinet Patches Actively Exploited CVE-2026-35616
• CyberScoop: Fortinet customers confront actively exploited zero-day, with a full patch still pending
• Help Net Security: FortiClient EMS zero-day exploited, emergency hotfixes available
• NVD: CVE-2026-35616
• BleepingComputer: New FortiClient EMS flaw exploited in attacks
• watchTowr: FortiClient EMS Zero-Day Active Exploitation