Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) wydała pilne zalecenie, w którym nakazuje wszystkim federalnym agencjom cywilnym usunięcie krytycznej luki w zabezpieczeniach oprogramowania zabezpieczającego dla przedsiębiorstw firmy Fortinet do końca bieżącego tygodnia, podkreślając rosnące obawy związane z aktywnymi atakami cybernetycznymi wymierzonymi w sieci rządowe i prywatne.
Krytyczne wykorzystanie luki typu zero-day wymaga podjęcia działań nadzwyczajnych
Luka, oznaczona jako CVE-2026-35616, dotyczy FortiClient Enterprise Management Server (EMS), szeroko stosowanego systemu używanego przez organizacje do centralnego zarządzania bezpieczeństwem punktów końcowych.
Według badaczy bezpieczeństwa z firmy Defused luka ta umożliwia ominięcie dostępu do API przed uwierzytelnieniem, pozwalając atakującym całkowicie ominąć mechanizmy logowania i autoryzacji. W praktyce oznacza to, że zdalny atakujący może przejąć kontrolę nad podatnymi systemami bez konieczności posiadania ważnych danych uwierzytelniających.
Takie luki są szczególnie niebezpieczne, ponieważ eliminują jedną z najbardziej podstawowych warstw obrony — uwierzytelnianie — co czyni je bardzo atrakcyjnymi zarówno dla hakerów sponsorowanych przez państwo, jak i grup cyberprzestępczych.
Firma Fortinet potwierdziła, że luka została już wykorzystana w rzeczywistych atakach, klasyfikując ją jako zagrożenie typu zero-day – czyli lukę, którą atakujący zaczynają wykorzystywać, zanim poprawka zostanie powszechnie udostępniona.
Firma przypisała ten problem „niewłaściwej kontroli dostępu” i w weekend udostępniła awaryjne poprawki dla podatnych wersji (7.4.5 i 7.4.6). Ostateczne rozwiązanie ma pojawić się w nadchodzącej wersji 7.4.7.
W swoim komunikacie firma Fortinet wezwała administratorów do podjęcia natychmiastowych działań:
- „Firma Fortinet zaobserwowała wykorzystywanie tej luki w środowisku produkcyjnym i apeluje do klientów narażonych na atak o jak najszybsze zainstalowanie poprawki…”.
- Luka ta umożliwia atakującym wykonywanie dowolnych poleceń lub kodu za pośrednictwem specjalnie spreparowanych żądań, co potencjalnie pozwala na całkowite przejęcie kontroli nad systemem, przemieszczanie się w sieci oraz wyciek danych.
CISA szybko dodała tę lukę do swojego katalogu znanych luk wykorzystywanych w atakach (KEV), czyli listy zarezerwowanej dla błędów bezpieczeństwa aktywnie wykorzystywanych w cyberatakach.
Zgodnie z prawnie wiążącą dyrektywą operacyjną nr 22-01 wszystkie agencje Federalnej Cywilnej Gałęzi Wykonawczej (FCEB) muszą załatać lub zminimalizować tę lukę do północy 9 kwietnia.
Agencja podkreśliła powagę zagrożenia:
„Ten rodzaj luki jest częstym wektorem ataku dla złośliwych cyberprzestępców i stanowi poważne ryzyko dla przedsiębiorstw federalnych”.
Agencje, które nie są w stanie zabezpieczyć dotkniętych systemów, mają obowiązek całkowicie usunąć lub zaprzestać użytkowania produktu do czasu, aż możliwe będzie złagodzenie skutków luki.
Dane fundacji Shadowserver wskazują, że obecnie w Internecie dostępnych jest prawie 2000 instancji FortiClient EMS, co znacznie zwiększa powierzchnię ataku.
Wśród nich:
- Ponad 1400 systemów znajduje się w Stanach Zjednoczonych i Europie
- Stan aktualizacji wielu z nich pozostaje nieznany
- Systemy z nieprawidłowymi ustawieniami lub bez aktualizacji mogły już zostać przejęte
Publiczna ekspozycja serwerów zarządzania przedsiębiorstwem jest szczególnie ryzykowna, ponieważ systemy te często mają podwyższone uprawnienia i scentralizowaną kontrolę nad punktami końcowymi, co czyni je celami o dużej wartości.
Ten najnowszy incydent jest częścią szerszego trendu polegającego na powtarzającym się wykorzystywaniu produktów firmy Fortinet.
Wcześniej w 2026 r.:
- Luka CVE-2026-21643 została załatana, ale później okazało się, że jest aktywnie wykorzystywana
- Luka CVE-2026-24858 skłoniła firmę Fortinet do zablokowania niektórych połączeń uwierzytelniających w chmurze jako środka zaradczego
Luki w zabezpieczeniach produktów Fortinet są często wykorzystywane w:
- Kampaniach cyber-szpiegowskich
- Atakach ransomware
- Operacjach uzyskiwania wstępnego dostępu przez zaawansowane grupy atakujące
Połączenie powszechnego wdrożenia i wysokiego poziomu uprawnień sprawia, że systemy Fortinet są powracającym celem ataków.
Chociaż wytyczne CISA dotyczą konkretnie agencji federalnych, agencja ta zdecydowanie zaleciła organizacjom sektora prywatnego potraktowanie tej luki z taką samą pilnością.
Atakujący często wykorzystują niezałatane systemy w sektorze prywatnym po ich publicznym ujawnieniu, zwłaszcza gdy pojawiają się exploity typu proof-of-concept.
Organizacjom zaleca się:
- Natychmiastowe zainstalowanie dostępnych poprawek
- Przejście na załatane wersje po ich wydaniu
- Ograniczenie zewnętrznej ekspozycji systemów EMS
- Monitorowanie logów pod kątem podejrzanej aktywności lub nieautoryzowanego dostępu do API
Incydent ten uwypukla stałe wyzwanie w zakresie cyberbezpieczeństwa: opóźnienie w stosowaniu poprawek — czyli czas między ujawnieniem luki a jej usunięciem.
Ponieważ osoby odpowiedzialne za zagrożenia w coraz większym stopniu automatyzują wykorzystywanie nowo ujawnionych luk, nawet niewielkie opóźnienia mogą skutkować naruszeniem bezpieczeństwa.
Luki takie jak CVE-2026-35616 — niewymagające uwierzytelniania — są często wykorzystywane w ciągu kilku godzin lub dni od ich wykrycia.
Pilna dyrektywa CISA odzwierciedla powagę zagrożenia, jakie stanowią aktywnie wykorzystywane luki w powszechnie stosowanym oprogramowaniu dla przedsiębiorstw. Ponieważ atakujący nadal wykorzystują luki typu zero-day, zarówno organizacje rządowe, jak i prywatne stoją w obliczu rosnącej presji, by zareagować i wzmocnić swoją cyberobronę.
Brak szybkiego działania może narazić krytyczne systemy na naruszenie bezpieczeństwa, kradzież danych i zakłócenia operacyjne na dużą skalę.
