FortiClient EMS CVE-2026-35616

요약

CVE-2026-35616은 FortiClient EMS의 접근 제어 결함이다. 인증되지 않은 요청이 관리 기능으로 이어지면 코드 또는 명령 실행으로 확장될 수 있다. 공개일은 2026-04-05였다. 같은 날 패치와 hotfix가 공개됐다. 2026-04-06에는 CISA가 KEV에 추가했고, FCEB 패치 시한은 2026-04-09였다. 공개 보도에서는 실제 악용이 확인됐다. watchTowr는 2026-03-31에 honeypot에서 첫 시도를 관측했다.

타임라인

기술 포인트

취약점 유형

핵심은 사전 인증 단계의 접근 제어 실패다. Fortinet 설명은 improper access control이다. 외부 요청이 허용되면 인증 우회 뒤 코드 또는 명령 실행으로 이어질 수 있다. 공개 보도에서는 CVSS 9.1로 정리됐다.

영향 범위

영향 버전은 FortiClient EMS 7.4.5와 7.4.6이다. 7.2 계열은 영향받지 않는다. 7.4.7에서 수정될 예정이다. 그 전에는 hotfix가 필요하다. 공개 보도에서는 인터넷에 노출된 EMS 인스턴스가 2,000개 이상으로 잡혔다.

악용 조건

취약 버전이 남아 있고, 관리면이 외부에 열려 있으며, hotfix가 없으면 된다. 노출된 EMS는 짧은 시간 안에 악용 대상으로 바뀐다.

탐지 포인트

네트워크

• EMS 웹 인터페이스로 들어오는 비정상 관리 요청
• 짧은 간격의 4xx, 5xx 반복
• 인증 우회가 의심되는 API 호출 증가
• 외부 노출 여부 점검

엔드포인트

• 웹 서비스 프로세스에서 cmd.exe, powershell.exe, wscript.exe, mshta.exe 생성
• EMS 서버 계정의 예상 밖 외부 통신
• 관리 콘솔 외 시간대의 정책 배포, 그룹 변경, 재배포 흔적

서버

• EMS 설치 흔적과 서비스 존재 여부
• 최근 7일 내 설정 변경
• 직전 배포 뒤 생긴 자식 프로세스 트리
• 같은 시간대의 웹 로그와 Windows 이벤트 상관분석

$keys = @(
  'HKLM:\SOFTWARE\Fortinet\FortiClientEMS',
  'HKLM:\SOFTWARE\WOW6432Node\Fortinet\FortiClientEMS'
)

foreach ($k in $keys) {
  if (Test-Path $k) {
    Get-ItemProperty $k | Select-Object PSPath, DisplayVersion, InstallPath
  }
}

Get-Service |
  Where-Object {
    $_.DisplayName -match 'FortiClient.*EMS|Forti.*EMS' -or
    $_.Name -match 'Forti.*EMS'
  } |
  Select-Object Name, DisplayName, Status

대응

• 외부 노출을 먼저 끊는다.
• 7.4.5와 7.4.6 사용 여부를 식별한다.
• hotfix 또는 7.4.7 전환 대상을 확정한다.
• 웹 로그, 프로세스 생성, 관리 변경 이력을 같은 시간창에서 본다.
• 침해 가능성이 있으면 EMS와 관리 대상 단말의 변화를 함께 본다.

참고 자료

• BleepingComputer - New FortiClient EMS flaw exploited in attacks, emergency patch released
• The Hacker News - Fortinet Patches Actively Exploited CVE-2026-35616 in FortiClient EMS
• BleepingComputer - CISA orders feds to patch exploited Fortinet EMS flaw by Friday