セキュリティ研究者による緊急警告

Fortinet の FortiClient Enterprise Management Server (EMS) を使用している組織に対して、セキュリティ研究者は緊急の警告を発しています。現在、この重要な管理ツールの 2,000 超のインスタンスが公開インターネットに露出しており、攻撃者がこれらのシステムを完全に制御するために深刻な脆弱性を利用しています。

脆弱性の詳細

これらのセキュリティギャップは、CVE-2026-35616 と CVE-2026-21643 の二つで、未認証のリモートコード実行 (RCE) フラウトとして分類されています。簡単に言えば、攻撃者はユーザー名を盗むかパスワードを推測する必要がなく、インターネット経由で特別に作成された要求を脆弱な FortiClient EMS サーバーに送ることだけで、悪意のあるコマンドを実行し、基本的なオペレーティングシステムを完全に制御することができます。

Shadowserver の検出

非営利のセキュリティ研究団体である Shadowserver Foundation は最近、この深刻な脆弱性が現実世界で活用されていることを確認しました。

グローバルな露出データ

Shadowserver の公開トラッキングダッシュボードによると、数千の組織が誤って FortiClient EMS サーバーをインターネットから直接アクセス可能にしています。インターネットスキャンのデータは、現在約 2,000 台のサーバーが世界中で見える状態であり、リスクにさらされていることを示しています。

危険性

中央管理サーバーを公開インターネットから直接アクセス可能にするのは、そのままで危険な行為です。特にアクティブな脆弱性が存在する場合、IT チームにとって緊急事態となります。

FortiClient EMS の役割

FortiClient EMS は、企業ネットワーク全体のエンドポイントセキュリティを管理するための中央ツールです。IT 管理者は、このツールを使用してアンチウイルス設定やウェブフィルタリング規則、ユーザー端末向けの安全なリモートアクセスポリシーなどを管理します。

攻撃者の脅威

サイバー犯罪者が EMS サーバーを乗っ取ると、広範囲にわたる企業環境への強力で信頼できる足場を得ることができます。攻撃者はこの中央管理機能を利用してマルウェアを配布したり、ユーザーのラップトップ上でセキュリティソフトウェアを無効化したり、組織全体に破壊的なランサムウェアを展開することができます。

対策

Fortinet の EMS を使用している組織は、脅威から脱却するための最新のセキュリティパッチを適用することが最も重要なステップです。また、ファイアウォールとネットワーク構成のレビューもすぐに実施すべきです。

アクセス制御

FortiClient EMS の管理インターフェースは、公開インターネットから直接アクセス可能であってはなりません。アクセスは信頼できる内部ネットワークに厳密に隔離され、または適切に構成された仮想プライベートネットワーク (VPN) の後ろで保護されるべきです。

---

元記事: https://gbhackers.com/2000-forticlient-ems-instances-exposed-online/