Una vulnerabilidad crítica en FortiClient Endpoint Management Server (CVE-2026-35616, CVSS 9,1) ya se explota en ataques reales para desplegar el EKZ Infostealer. El fallo permite ejecución remota de código sin autenticación y puede convertir el servidor de gestión en una vía de entrada para comprometer muchos endpoints a la vez.
La vulnerabilidad CVE-2026-35616 afecta a FortiClient Endpoint Management Server (FortiClient EMS) y permite a un atacante ejecutar código de forma remota sin autenticación mediante solicitudes manipuladas. El problema no se queda en el servidor: al tratarse de una plataforma de administración centralizada, un abuso exitoso puede derivar en cambios de configuración que se propaguen a los equipos gestionados, con un efecto dominó que multiplica el alcance del incidente.
Los ataques observados se han centrado en desplegar un ladrón de información, EKZ Infostealer, que llega camuflado como si fuera una actualización o un parche de Fortinet. La cadena de intrusión aprovecha flujos de VPN scripting gestionados por FortiClient, una pieza pensada para automatizar tareas, pero que en manos de un intruso sirve para insertar y ejecutar scripts maliciosos en endpoints.
En esas campañas, los atacantes han tirado de fortitray.exe, un binario legítimo de FortiClient, para lanzar scripts .cmd mediante cmd.exe. A partir de ahí, la ejecución suele saltar a PowerShell, con contenido codificado en Base64, para descargar y ejecutar el payload y también para sacar información hacia el exterior. Un detalle relevante: el malware puede volcar credenciales y datos robados a ficheros de registro, y el envío se realiza desde el script de PowerShell mediante HTTP POST, no necesariamente por capacidades propias del ejecutable.
El botín es el habitual en este tipo de infostealers, pero no por ello menor: credenciales, cookies y datos de autocompletado, incluidos números de tarjeta, direcciones y teléfonos. Afecta a navegadores basados en Chromium y Gecko, lo que amplía el abanico de víctimas potenciales en entornos mixtos.
En los registros, una pista que se ha señalado en esta campaña es la cadena «Certificate not found in request header», asociada a intentos de explotación relacionados con autenticación por certificado. Además, la CISA incluyó el fallo en su catálogo Known Exploited Vulnerabilities el 6 de abril de 2026, una señal clara de que no se trata de un riesgo teórico.
La prioridad pasa por aplicar de inmediato los hotfix para FortiClient EMS 7.4.5 y 7.4.6, o actualizar a FortiClient EMS 7.4.7 o superior. Conviene inventariar instancias, empezar por las expuestas a Internet, y revisar cambios no autorizados en Remote Access Profile, políticas de endpoints y configuraciones de VPN, sobre todo si aparecen scripts nuevos o modificados. En paralelo, resulta recomendable vigilar ejecuciones anómalas de cmd.exe, scripts .cmd y PowerShell lanzados por componentes de FortiClient, y buscar artefactos con nombres engañosos como «FortiEndpoint_Patch.exe». Cualquier señal de administración sospechosa en EMS, como cuentas creadas sin control, inicios de sesión desde orígenes inusuales o cambios no planificados, debería tratarse ya como un incidente en curso.
Más información
- SecurityWeek – Critical FortiClient EMS Vulnerability Exploited in Fresh Attacks : https://www.securityweek.com/critical-forticlient-ems-vulnerability-exploited-in-fresh-attacks/
- The Hacker News – Threat Actors Exploit Critical FortiClient EMS Flaw to Deploy Credential Stealer : https://thehackernews.com/2026/05/threat-actors-exploit-critical.html
- BleepingComputer – Hackers exploit FortiClient EMS flaw to push infostealer malware : https://www.bleepingcomputer.com/news/security/hackers-exploit-forticlient-ems-flaw-to-push-infostealer-malware/
La entrada Atacantes explotan un fallo crítico en FortiClient EMS para colar un infostealer en redes corporativas se publicó primero en Una Al Día.
