Fortinet Rilis Patch untuk CVE-2026-35616 yang Sedang Dieksploitasi Aktif di FortiClient EMS

Fortinet baru-baru ini merilis patch penting di luar jadwal untuk memperbaiki kerentanan kritis yang sedang dieksploitasi secara aktif pada FortiClient EMS. Kerentanan yang diberi kode CVE-2026-35616 ini memiliki skor CVSS 9.1 dan memungkinkan penyerang untuk melakukan eskalasi hak akses melalui bypass autentikasi API.

Detail Kerentanan dan Dampaknya

Menurut pengumuman resmi dari Fortinet, kerentanan ini dikategorikan sebagai masalah kontrol akses yang tidak tepat (CWE-284) yang dapat dimanfaatkan oleh pelaku tanpa autentikasi untuk mengeksekusi kode atau perintah berbahaya melalui permintaan yang dibuat khusus.

Kerentanan ini memengaruhi FortiClient EMS versi 7.4.5 hingga 7.4.6. Meskipun perbaikan permanen dijadwalkan hadir pada versi 7.4.7 yang akan datang, Fortinet sudah menyediakan patch hotfix agar pengguna dapat segera menambal celah tersebut.

Penemuan dan Eksploitasi di Dunia Nyata

Kerentanan ini ditemukan dan dilaporkan oleh Simo Kohonen dari Defused Cyber dan Nguyen Duc Anh. Defused Cyber menyatakan dalam postingan di platform X bahwa eksploitasi zero-day sudah diamati sejak awal pekan ini.

Berdasarkan data dari watchTowr, serangan pertama terhadap kerentanan ini tercatat pada 31 Maret 2026 melalui honeypot yang mereka kelola.

Jika berhasil dieksploitasi, penyerang bisa melewati perlindungan autentikasi dan otorisasi API dan menjalankan perintah berbahaya tanpa batasan, yang berpotensi mengancam keamanan sistem secara serius.

Respon Fortinet dan Imbauan untuk Pengguna

Fortinet menegaskan, "Kami telah mengamati eksploitasi di dunia nyata dan sangat menganjurkan pengguna rentan untuk segera menginstal hotfix pada FortiClient EMS versi 7.4.5 dan 7.4.6."

Kerentanan ini muncul hanya beberapa hari setelah kerentanan kritis lain di FortiClient EMS (CVE-2026-21643, skor CVSS 9.1) juga sedang dieksploitasi aktif. Namun, belum jelas apakah aktor ancaman yang sama yang bertanggung jawab atas kedua eksploitasi tersebut dan apakah kedua celah ini dimanfaatkan secara bersamaan.

Konteks dan Waktu Eksploitasi

Benjamin Harris, CEO dan pendiri watchTowr, mengingatkan bahwa waktu eksploitasi yang meningkat selama periode libur, seperti Paskah, bukan kebetulan. Dalam wawancara dengan The Hacker News, Harris berpendapat:

"Penyerang berulang kali menunjukkan bahwa akhir pekan libur adalah waktu terbaik untuk bergerak. Tim keamanan biasanya berkurang personelnya, insinyur on-call bisa terdistraksi, dan waktu antara kompromi dan deteksi menjadi lebih panjang."

Ia menambahkan, "Ini merupakan kerentanan kedua yang tidak memerlukan autentikasi pada FortiClient EMS dalam beberapa minggu terakhir. Organisasi yang menggunakan FortiClient EMS dan terhubung ke internet harus memperlakukan situasi ini sebagai kondisi darurat dan segera menerapkan hotfix."

Langkah-Langkah yang Harus Dilakukan Pengguna

Untuk mengamankan sistem dari ancaman ini, pengguna FortiClient EMS disarankan melakukan hal berikut:

• Segera pasang hotfix yang disediakan Fortinet untuk versi 7.4.5 dan 7.4.6.
• Rencanakan pembaruan ke versi 7.4.7 segera setelah tersedia untuk perbaikan menyeluruh.
• Periksa log dan aktivitas sistem untuk mendeteksi tanda-tanda eksploitasi.
• Tingkatkan pengawasan keamanan terutama selama periode libur atau akhir pekan.

Analisis Redaksi

Menurut pandangan redaksi, kejadian ini menunjukkan bahwa FortiClient EMS sebagai produk keamanan yang digunakan oleh banyak organisasi besar masih menghadapi tantangan serius dalam mempertahankan keamanan API-nya. Dua kerentanan kritis yang muncul dalam waktu singkat dan dieksploitasi secara aktif menandakan adanya celah dalam pengujian keamanan atau proses pengembangan perangkat lunak Fortinet.

Selain itu, eksploitasi yang terjadi bertepatan dengan masa libur nasional menjadi bukti bahwa aktor jahat sangat strategis dalam memilih waktu untuk melancarkan serangan agar respons keamanan menjadi lambat. Hal ini menggarisbawahi pentingnya kesiapsiagaan 24/7 bagi tim keamanan siber perusahaan, terutama yang mengandalkan perangkat lunak penting seperti FortiClient EMS.

Ke depan, selain melakukan patching segera, organisasi juga harus meningkatkan monitoring dan memperkuat kontrol akses API secara internal. Kami juga mengimbau Fortinet untuk meningkatkan transparansi dan komunikasi terkait keamanan produk agar pengguna dapat lebih cepat merespons ancaman yang muncul.

Untuk informasi lebih detail dan update patch terbaru, baca artikel asli di The Hacker News dan pantau terus sumber berita keamanan siber terpercaya.