CVE-2026-35616 se está considerando como una vulnerabilidad crítica zero-day explotando activamente, pero la vulnerabilidad en sí misma no es lo que merece mayor atención.
Lo importante es dónde se aplica el exploit y qué tipo de ventaja le proporciona al atacante una vez que tiene éxito.
FortiClient EMS no es un servidor cualquiera. Coordina los dispositivos finales, distribuye la configuración y ofrece un nivel de confianza operativa que la mayoría de las infraestructuras nunca tienen que justificar. Cuando ese sistema queda expuesto, el atacante no solo consigue acceso a un host, sino que adquiere un amplio alcance.
En un artículo anterior sobre zero-day dirigidos a dispositivos perimetrales, explicamos cómo los atacantes rompen la barrera, establecen un punto de apoyo y luego avanzan hacia el interior. Este nuevo exploit muestra lo que ocurre cuando el punto de partida ya se encuentra más allá de ese límite.
Desde el acceso en el borde hasta el acceso al plano de control
El modelo anterior partía de una secuencia: primero se conseguía acceso en la periferia y luego se expandía.
En este caso, el servidor EMS suele estar lo suficientemente accesible como para ser objeto de ataques, pero a la vez inspira tanta confianza que rara vez se cuestiona su comportamiento. La vulnerabilidad permite una interacción sin autenticación con su API que conduce a la ejecución de código, lo que significa que no se necesitan credenciales, no hay dependencia del comportamiento del usuario ni se recurre a una identidad robada al inicio de la intrusión.
De este modo, se elimina toda una etapa de la ruta del ataque y se retrasa la detección.
No hay anomalías en el inicio de sesión, ni cuentas sospechosas, ni comportamientos evidentes por parte de los usuarios que sirvan de punto de partida para la investigación. El atacante accede directamente a un sistema que ya tiene control sobre los terminales y visibilidad del entorno.
El mismo comportamiento, pero en un contexto diferente
Este comportamiento no es nuevo. Es el contexto lo que lo oculta.
Los atacantes siguen analizando el entorno, identificando credenciales y dirigiéndose hacia los sistemas de mayor valor. La diferencia radica en la rapidez con la que lo hacen y en lo normal que parece mientras lo intentan.
Desde el punto de vista del EMS, la actividad pasa desapercibida. La obtención de datos de los puntos finales parece una gestión de inventario, la lectura de la configuración parece una tarea administrativa y las conexiones internas se asemejan más a una gestión rutinaria que a un movimiento lateral.
Por qué es difícil de detectar
Las señales están ahí, pero no parecen estar relacionadas entre sí.
El ataque comienza como tráfico de API, a menudo indistinguible de las solicitudes habituales o del ruido de fondo. Para cuando llega a la ejecución de código, el atacante ya está operando en un sistema de confianza.
A partir de ahí, basta con pequeñas desviaciones: conexiones a nuevos sistemas, autenticaciones válidas pero inusuales, actividad fuera de los horarios habituales. Cada señal puede explicarse por sí sola.
La detección falla porque estas señales se distribuyen entre distintos sistemas. La actividad de la API queda registrada en los registros de la aplicación, la ejecución de procesos en el host, las conexiones de red en herramientas independientes y la autenticación en la supervisión de identidades. Ninguna señal por sí sola es lo suficientemente sólida.
El atacante no necesita actuar de forma sigilosa. Se basa en el hecho de que nadie observa la secuencia completa.
Cómo se ve esto en la telemetría
Este patrón se observa en distintos ámbitos:
- Actividad de la API sin un contexto de usuario claro
- cambios en el comportamiento de los procesos o servicios en el host del EMS
- conexiones salientes a sistemas con los que rara vez se comunica
- autenticación vinculada a los servicios en lugar de a los usuarios
- interacciones entre puntos finales fuera del ámbito habitual
Por separado, se trata de eventos de baja intensidad. En conjunto, forman un patrón en el que el servidor EMS se convierte en el punto de origen de la actividad relacionada con la identidad, la red y los terminales.
Lo que esto significa en la práctica
Si no se detecta a tiempo, resulta difícil controlar la situación, ya que entra en juego la confianza.
En cuestión de minutos, el atacante puede consolidar su acceso y hacerse una idea del entorno. A partir de ahí, puede dirigirse hacia los sistemas importantes sin despertar sospechas inmediatas. Para cuando la actividad se revela claramente maliciosa, el atacante ya está actuando con un contexto y un acceso que son difíciles de revertir.
La respuesta ya no se limita a aislar un único host. Es necesario analizar a qué ha accedido ese sistema, qué puede haber modificado y qué credenciales o relaciones pueden haber quedado expuestas.
El punto de entrada ya no es donde comienza la detección. El acceso inicial puede generar poca o ninguna señal útil, y los primeros indicadores fiables suelen aparecer solo después de que el atacante haya comenzado a actuar desde un sistema de confianza.
Eso cambia la naturaleza del problema. La detección consiste entonces en reconocer cuándo los sistemas con funciones definidas actúan fuera de esas funciones, y hacerlo antes de que la confianza propague el ataque.
Aquí es donde la continuidad del comportamiento cobra importancia. Cuando un mismo sistema se convierte en el origen de la actividad en los ámbitos de la identidad, la red y los terminales, las señales débiles forman un patrón coherente.
La Vectra AI aborda este problema vinculando los comportamientos con la identidad y la actividad de la red, de modo que los eventos de baja intensidad formen un panorama coherente con la suficiente antelación como para investigarlos y contenerlos.
Si quieres saber en qué medida tu entorno está expuesto a este tipo de vía de ataque, una Evaluación de Seguridad Ofensiva puede revelar dónde se podrían utilizar indebidamente los sistemas del plano de control y con qué rapidez se detectaría ese comportamiento. En este tipo de ataque, esa visibilidad es lo que determina si el servidor EMS es simplemente otra alerta o el momento en que se comprende el incidente.