Fortinet 緊急修補 FortiClient EMS 零日漏洞 兩週內第二個重大漏洞遭攻擊利用

Fortinet 緊急發布安全更新，修補一個已遭實際攻擊利用的 FortiClient Endpoint Management Server（EMS）零日漏洞。這是該產品在短短兩週內第二個遭到攻擊者鎖定的重大漏洞，再次凸顯 Fortinet 產品已成為駭客的優先攻擊目標。

漏洞技術細節

該漏洞編號為 CVE-2026-35616，CVSS 評分高達 9.1 分，屬於重大等級。Fortinet 在安全公告中將其描述為「不當存取控制」（Improper Access Control）漏洞，源自 CWE-284 弱點類型。攻擊者可透過精心構造的請求，在無需通過身分驗證的情況下執行未授權的程式碼或指令。

資安廠商 Defused Cyber 進一步將此漏洞定性為「預先驗證 API 存取繞過」（pre-authentication API access bypass），意味著攻擊者能夠完全繞過 API 的認證與授權機制。該公司創辦人暨執行長 Simo Kohonen 與資安研究員 Nguyen Duc Anh 共同發現並通報了這個漏洞。

受影響的版本為 FortiClient EMS 7.4.5 及 7.4.6，7.2 分支則不受影響。Fortinet 已針對受影響版本釋出 hotfix，並表示即將發布的 7.4.7 版本也將包含此修補程式。

實際攻擊活動已確認

Fortinet 在安全公告中證實此漏洞已遭實際攻擊利用，呼籲用戶盡速安裝修補程式。根據 watchTowr 的監測資料，針對 CVE-2026-35616 的攻擊嘗試最早可追溯至 3 月 31 日。

Kohonen 向 外媒表示，目前觀察到的攻擊活動似乎範圍有限，僅來自單一攻擊來源。他補充說明，由於漏洞在週末與假期期間曝光，許多組織可能尚未完成修補，這是目前攻擊規模仍然受控的原因之一。

Tenable 資深工程師 Scott Caveza 在部落格文章中指出，GitHub 上已出現公開的概念驗證（PoC）攻擊程式碼，雖然該公司尚未驗證其有效性，但預期隨著更多攻擊程式碼釋出，攻擊活動將持續增加。

根據資安監測組織 Shadowserver 的追蹤資料，目前全球約有近 2,000 個 FortiClient EMS 執行個體暴露於網際網路上，其中超過 1,400 個位於美國與歐洲。

CISA 要求聯邦機構限期修補

美國網路安全暨基礎設施安全局（CISA）已將 CVE-2026-35616 列入「已知遭利用漏洞」（KEV）目錄，並依據《約束性作業指令 22-01》（BOD 22-01）要求聯邦民事行政機關（FCEB）必須在 4 月 9 日午夜前完成修補。

CISA 警告：「此類漏洞是惡意網路行為者常見的攻擊途徑，對聯邦企業構成重大風險。」該機構同時呼籲私部門組織也應將此漏洞的修補工作列為優先事項。

Fortinet 產品成為攻擊者首選目標

CVE-2026-35616 的出現，距離另一個 FortiClient EMS 重大漏洞 CVE-2026-21643 遭到攻擊利用僅不到兩週。後者是一個 SQL 注入漏洞，同樣具有 9.1 的 CVSS 評分，於 2 月 6 日首次披露並修補，但在 3 月下旬才開始遭到攻擊。目前尚不清楚這兩個漏洞是否由同一攻擊者利用，或是否被串連使用。

watchTowr 執行長暨創辦人 Benjamin Harris 對此表示：「令人失望的是，這已經是 FortiClient EMS 在數週內出現的第二個無需驗證即可利用的漏洞。」

回顧近期 Fortinet 產品的安全事件，攻擊者對該品牌的興趣顯然持續升溫。今年 1 月，Fortinet 確認攻擊者利用一個零日漏洞，透過 FortiCloud 單一登入（SSO）功能入侵客戶系統。同月，FortiSIEM 平台的重大指令注入漏洞 CVE-2025-64155 也遭到大規模利用。去年 12 月，Fortinet 披露了 FortiOS、FortiWeb、FortiProxy 及 FortiSwitchManager 產品中的兩個重大身分驗證繞過漏洞，其中 CVE-2025-59718 在一週後即被列入 CISA 的 KEV 目錄。

今年 2 月，Amazon Web Services 研究人員更發現，有攻擊者利用人工智慧技術，針對弱密碼、暴露的連接埠及其他安全缺口，成功入侵了數百台 FortiGate 設備。

修補建議

Harris 強調，任何將 FortiClient EMS 暴露於網際網路的組織都應將此事件視為緊急應變情況，而非「等到週二再處理」的問題。他表示：「攻擊者已經搶得先機，請立即套用 hotfix。」

企業應立即確認環境中是否部署受影響版本的 FortiClient EMS，並依據 Fortinet 官方指引安裝對應的 hotfix。若無法立即修補，應考慮限制該系統的網際網路存取，或依循 CISA 指引暫停使用該產品。