当前位置：首页 > news >正文

CVE-2026-35616漏洞分析与修复

news 2026/4/17 1:02:20

2026年4月4日，当全球大多数企业还沉浸在复活节假期的松弛中时，Fortinet紧急发布了一则足以让全球安全圈震动的安全公告：编号为FG-IR-26-099的严重漏洞（CVE-2026-35616）正在被在野利用，CVSS评分高达9.8分。

这不是一次普通的漏洞披露。就在两周前，无数企业刚刚为修复另一个高危SQL注入漏洞CVE-2026-21643，将FortiClient EMS紧急升级到了7.4.5和7.4.6版本。他们万万没有想到，这次"安全升级"反而将自己推向了更危险的深渊——一个无需任何凭证、只需一条HTTP请求就能完全控制服务器的远程代码执行漏洞，正静静地等待着攻击者的光临。

截至本文发稿时，全球已有超过1200台暴露在互联网上的FortiClient EMS服务器被确认遭到入侵，其中包括多家财富500强企业和政府机构。CISA已将该漏洞加入已知被利用漏洞目录（KEV），要求所有联邦机构在4月9日前完成修复，这是CISA历史上最短的补丁部署期限之一。

一、被忽视的"大脑"：FortiClient EMS的核心地位

要理解这个漏洞的破坏力，我们首先必须明白FortiClient EMS在现代企业安全架构中扮演的角色。

FortiClient EMS（Endpoint Management Server）是Fortinet端点安全解决方案的中央指挥中枢，相当于整个企业端点安全体系的"大脑"。它负责管理组织内所有运行FortiClient客户端的设备，包括：

统一推送和更新安全策略（杀毒、防火墙、入侵防御）
管理VPN接入权限和配置
监控端点合规性状态
收集端点安全日志和遥测数据
响应安全事件并执行隔离操作

在典型的企业部署中，一台FortiClient EMS服务器通常管理着数千甚至数万台终端设备，从员工的笔记本电脑、台式机到服务器、移动设备无所不包。更关键的是，为了让远程员工和分支机构的终端能够正常接收策略更新和遥测数据，绝大多数企业都会将FortiClient EMS的管理界面直接暴露在互联网上。

这意味着，一旦攻击者控制了EMS服务器，他们就获得了：

对所有受管终端的完全控制权
向所有终端推送任意软件或恶意代码的能力
查看和修改所有VPN配置和凭证的权限
禁用所有终端上的安全防护功能的权限
横向移动到企业内部任何网络段的跳板

正如安全研究员Kevin Beaumont所言：“攻破FortiClient EMS不是攻破了一台服务器，而是攻破了整个企业的端点防线。这相当于把企业的大门钥匙直接交给了攻击者。”

二、漏洞深度解析：一个API路由错误引发的血案

CVE-2026-35616本质上是一个API层的访问控制不当漏洞，但它的成因和影响远比表面看起来复杂。

2.1 技术原理详解

根据watchTowr Labs发布的技术分析报告，漏洞存在于FortiClient EMS的API网关组件中。该组件负责对所有传入的API请求进行身份验证和授权检查，但在处理特定路径时出现了严重的逻辑错误。

具体来说，FortiClient EMS的API网关使用了基于路径前缀的鉴权机制。所有以"/api/v1/"开头的请求都需要经过严格的身份验证，而某些特定路径（如登录页面、静态资源）则被排除在鉴权之外。

然而，开发人员在实现路由匹配时犯了一个低级但致命的错误：API网关在进行路径匹配时，没有正确处理URL中的特殊字符和路径遍历序列。攻击者可以通过在请求路径中插入特定的前缀，让API网关误以为该请求属于不需要鉴权的路径，从而绕过所有的身份验证和授权检查。

更糟糕的是，绕过鉴权后，攻击者可以直接访问本应只有超级管理员才能访问的API端点，包括：

/api/v1/system/user：创建和修改管理员账户
/api/v1/system/command：执行任意系统命令
/api/v1/config/backup：下载完整的配置备份（包含所有凭证）
/api/v1/client/push：向所有受管终端推送文件和命令

整个利用过程极其简单，只需发送一个特制的HTTP POST请求，无需任何用户交互，无需任何有效凭证，也无需任何特殊的技术知识。PoC代码公开后，即使是脚本小子也能在几分钟内攻破一台未打补丁的EMS服务器。

2.2 "补丁地狱"的完美体现

CVE-2026-35616最具讽刺意味的一点是，它是在修复前一个漏洞的过程中被引入的。

2026年3月18日，Fortinet发布了CVE-2026-21643的安全公告，这是一个存在于FortiClient EMS 7.4.4及更早版本中的高危SQL注入漏洞，CVSS评分为8.8分。为了修复这个漏洞，Fortinet发布了7.4.5和7.4.6两个版本。

然而，在修复SQL注入漏洞的过程中，开发人员修改了API网关的路由逻辑，却没有进行充分的安全测试，结果引入了这个更严重的访问控制不当漏洞。这就导致了一个荒谬的局面：

停留在7.4.4版本的企业，面临SQL注入漏洞的风险
升级到7.4.5或7.4.6版本的企业，面临更严重的RCE漏洞的风险
没有任何一个版本是完全安全的

这种"补丁引入新漏洞"的现象被安全界称为"补丁地狱"，而CVE-2026-35616则是"补丁地狱"的完美体现。它暴露了现代软件快速迭代模式下的一个严重问题：为了赶时间修复漏洞，开发人员往往会牺牲代码质量和安全测试，结果反而制造了更大的安全隐患。

三、在野利用全景：从蜜罐捕获到勒索软件武器化

CVE-2026-35616的在野利用活动早在官方公告发布前就已经开始了。根据多个安全厂商的蜜罐数据，最早的攻击尝试可以追溯到2026年3月31日，也就是复活节假期的第一天。

3.1 攻击时间线

3月25日左右：攻击者发现了这个漏洞，并开始在地下论坛进行小范围传播
3月31日：蜜罐首次捕获到针对该漏洞的攻击尝试
4月1日-4月3日：攻击活动急剧增加，每天有数千次攻击尝试
4月4日：Fortinet发布紧急安全公告，确认漏洞存在并发布补丁
4月5日：多个安全团队发布PoC代码，攻击活动达到顶峰
4月6日：首个利用该漏洞的勒索软件攻击被发现
4月8日：CISA发布紧急预警，要求联邦机构在4月9日前完成修复
4月10日：全球已有超过1200台EMS服务器被确认遭到入侵

3.2 典型攻击链分析

根据对已捕获攻击样本的分析，攻击者利用CVE-2026-35616的典型攻击链如下：

漏洞探测：攻击者使用自动化脚本扫描互联网上开放443端口的服务器，识别出运行FortiClient EMS的主机
漏洞利用：发送特制的HTTP请求绕过鉴权，创建一个隐藏的超级管理员账户
持久化访问：上传webshell并安装后门，确保即使漏洞被修复也能继续访问服务器
信息窃取：下载完整的配置备份，获取所有VPN凭证、管理员账户和终端信息
横向移动：利用窃取的VPN凭证和终端管理权限，横向移动到企业内部网络
勒索软件部署：在所有受管终端上部署勒索软件，加密数据并索要赎金

值得注意的是，许多攻击者在入侵EMS服务器后，并不会立即部署勒索软件，而是会潜伏数周甚至数月，收集尽可能多的信息，然后选择对企业最不利的时机发动攻击。

3.3 攻击目标分析

从目前的攻击数据来看，攻击者的主要目标包括：

制造业企业：拥有大量生产设备和高价值知识产权
医疗机构：拥有敏感的患者数据，且对业务连续性要求极高
政府机构：拥有大量机密信息
教育机构：拥有大量学生数据和研究成果
金融机构：拥有大量客户数据和资金

四、修复与应急响应：不止是打补丁那么简单

面对如此严重的漏洞，很多企业的第一反应是立即打补丁。但实际上，打补丁只是整个应急响应过程中的一步，而且如果处理不当，可能会带来更严重的后果。

4.1 官方补丁详解

Fortinet为受影响的版本提供了两种修复方案：热修复补丁和完整修复版本。

受影响版本	热修复版本	完整修复版本	发布时间
7.4.5	7.4.5.2111	7.4.7	2026-04-04
7.4.6	7.4.6.2170	7.4.7	2026-04-04

热修复补丁：只修复了CVE-2026-35616漏洞，不需要重启服务器，部署速度快，适合需要快速缓解风险的企业。但热修复补丁没有包含其他安全改进，建议后续还是升级到完整修复版本。

完整修复版本：不仅修复了CVE-2026-35616漏洞，还包含了之前所有的安全补丁和功能改进，是长期的解决方案。但升级完整版本需要重启服务器，可能会导致终端暂时无法连接EMS。

补丁部署注意事项：

在部署补丁前，务必备份完整的EMS配置和数据库
先在测试环境中验证补丁的兼容性，确保不会影响正常业务
部署补丁后，立即修改所有管理员账户的密码
全面审查所有管理员账户，删除任何可疑的账户
检查所有终端的策略配置，确保没有被恶意修改

4.2 临时缓解措施

对于无法立即打补丁的企业，可以采取以下临时缓解措施：

严格限制网络访问：通过防火墙规则仅允许已知可信IP地址访问EMS服务器的443端口，禁止所有来自互联网的未知IP访问
隔离EMS服务器：将EMS服务器置于独立的网络段，禁止其直接访问互联网，只允许必要的出站流量
启用日志审计：全面审查EMS服务器的访问日志，重点关注3月25日至补丁安装期间的异常API调用和账户活动
监控异常行为：在EMS服务器上部署EDR工具，监控异常进程创建、文件修改和网络连接

需要特别强调的是，这些临时缓解措施只能降低风险，不能完全修复漏洞。企业应该尽快部署官方补丁。

4.3 入侵排查指南

如果你的企业已经部署了FortiClient EMS，并且在3月25日至补丁安装期间没有采取任何防护措施，那么你应该立即进行全面的入侵排查。

重点排查内容：

管理员账户：检查是否存在未知的管理员账户，特别是那些创建时间在3月25日之后的账户
访问日志：检查EMS服务器的访问日志，查找来自未知IP地址的API调用，特别是针对"/api/v1/system/user"和"/api/v1/system/command"端点的调用
进程和服务：检查EMS服务器上是否存在可疑的进程和服务，特别是那些以系统权限运行的进程
文件系统：检查EMS服务器的Web目录和临时目录，查找是否存在webshell或其他恶意文件
终端状态：检查受管终端是否存在异常的软件安装、进程运行和网络连接

如果发现任何入侵迹象，企业应该立即采取以下措施：

立即隔离受感染的EMS服务器，断开其与网络的连接
重置所有管理员账户的密码
撤销所有VPN凭证
全面扫描所有受管终端，清除恶意软件
恢复EMS服务器到入侵前的干净备份
部署官方补丁
通知相关监管机构和受影响的用户

五、深度反思：为什么管理平台成了攻击重灾区？

CVE-2026-35616不是第一个被大规模利用的安全管理平台漏洞，也绝不会是最后一个。近年来，针对安全管理平台的攻击呈现出爆发式增长的趋势，从VMware vCenter到SolarWinds，从Exchange Server到FortiClient EMS，几乎所有主流的安全管理平台都曾出现过严重的漏洞。

为什么管理平台成了攻击重灾区？我认为主要有以下几个原因：