A ameaça veio rápido e urgente: uma vulnerabilidade crítica em FortiClient Enterprise Management Server (EMS), identificada como CVE-2026-35616, obrigou as autoridades dos EUA a ordenarem medidas imediatas e a acender os alarmes entre equipas de segurança de todo o mundo. Trata-se de uma falha que permite, segundo os pesquisadores que descobriram, contornar completamente os controles de autenticação e autorização mediante pedidos especialmente concebidos, o que abre a porta à execução de comandos ou código sem necessidade de credenciais.
Fortinet reagiu liberando correções de emergência durante o fim de semana e avisou que a vulnerabilidade é o resultado de uma má configuração no controle de acesso de sua API. A empresa alertou ainda que atores maliciosos já estavam aproveitando a falha em ataques ativos, e recomendou instalar os hotfixes disponíveis para as versões afetadas – os ramos 7.4.5 e 7.4.6 – ou atualizar para a versão 7.4.7 quando esta estiver publicada.
A gravidade do problema levou à Cybersecurity and Infrastructure Security Agency (CISA) a incluir a vulnerabilidade em sua Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) e emitir uma ordem vinculativa para as agências federais, exigindo que todas as instâncias de FortiClient EMS sejam asseguradas antes da data limite indicada sob a Binding Operational Directive 22-01. Embora essa directiva aplique formalmente entidades do governo federal dos EUA, a CISA instou todas as organizações, públicas e privadas, a priorizar a correção da falha.
O contexto torna ainda mais preocupante o cenário: o grupo de vigilância Shadowserver mantém um contador público de instâncias de FortiClient EMS acessíveis da Internet e, segundo seu painel, há perto de 2000 servidores EMS expostos, com mais de 1.400 endereços IP localizados nos Estados Unidos e na Europa. Esse nível de exposição pública aumenta o risco de compromissos em massa, e o complicado é que não há uma medição pública fiável de quantas dessas instâncias já aplicaram o adesivo.
Por que é especialmente sensível uma falha em EMS? Um servidor de gestão de endpoints centraliza políticas, implantaçãos e controles sobre os clientes FortiClient implantados em uma rede. Comprometer esse ponto significa poder pivotar, implantar malware através da infraestrutura de gestão ou desativar controles de segurança em múltiplos equipamentos simultaneamente. Em outras palavras, é um objetivo de alto valor para ataques de espionagem e ransomware.
Fortinet pediu aos seus clientes que instalem os hotfixes para as versões afetadas logo que antes, e que, quando a versão estável e corrigida (7.4.7) estiver disponível, adotem como via definitiva. Paralelamente, a recomendação da CISA inclui aplicar as mitigações do fornecedor, considerar a suspensão do produto se não houver mitigações possíveis e seguir os guias de BOD 22-01 para serviços na nuvem. Estas indicações não são meramente formais: na prática, implicam modificar a exposição dos servidores, endurecer acessos e revisar auditorias e registros em busca de atividade suspeita.
Este episódio não é isolado na história recente de Fortinet. Nos meses anteriores, a empresa publicou adesivos para outras falhas críticas em seus produtos, algumas das quais também foram relatadas como exploradas em ambientes reais. Essa recorrência transformou certas famílias de produtos de Fortinet em alvos preferidos para campanhas sofisticadas; portanto, cada nova vulnerabilidade exige uma resposta rápida e coordenada.
Para um responsável por TI ou segurança, a janela de resposta é estreita. Além de aplicar o hotfix oficial ou a atualização recomendada, há medidas práticas que podem reduzir o risco de exploração enquanto o adesivo é completo: restringir o acesso ao EMS através de listas de controle de acesso e VPNs, mover a consola de gestão fora de acessos diretos da Internet, ativar o registro detalhado e monitoração de conexões incomuns, e preparar planos de resposta que incluam isolamento de sistemas e verificação de integridade após a remediação. Também é prudente rever contas administrativas, credenciais e chaves que possam ter sido comprometidas e quebradas quando for caso disso.
A dinâmica das vulnerabilidades de gestão centralizada evidencia que a cibersegurança moderna não é apenas um exercício técnico: é uma questão organizacional. Actualizar software rapidamente, manter inventários precisos de ativos expostos, e coordenar comunicação entre equipamentos de segurança, operações e direção são tarefas críticas para evitar que um único falha desemboque em um incidente maior.
Se você gerencia FortiClient EMS, não espere: verifique a versão do seu servidor, consulte a documentação do fabricante e aplique os hotfixes ou a atualização recomendada. Para consultar o aviso oficial da agência de cibersegurança de EE. Nos EUA e na compreensão do quadro de cumprimento, você pode rever a nota de CISA no link anterior. Para avaliar exposição pública de instâncias EMS, o painel de Shadowserver oferece uma vista que, embora não diga quantas estão adesivos, mostra a magnitude da implantação acessível da Internet. E para procurar os comunicados e avisos oficiais de Fortinet sobre esta e outras vulnerabilidades, a página de anúncios de segurança da empresa é um ponto de partida recomendável: Fortinet Product Security Announcements.
No fundo, a lição é clara: quando um vetor de ataque afeta a camada de gestão, a rapidez da resposta e a higiene operacional marcam a diferença entre um incidente controlado e uma brecha com consequências extensas. O convite da CISA para que o sector privado actue com a mesma urgência que as agências federais não é retórica; é a chamada a evitar que uma vulnerabilidade explorada na sombra se torne um desastre à vista de todos.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...