FortiClient EMSのゼロデイ悪用が確認される　ホットフィックスも緊急リリース（CVE-2026-35616）

FortiClient EMSのゼロデイ悪用が確認される　ホットフィックスも緊急リリース（CVE-2026-35616）

Help Net Security – April 4, 2026

セキュリティ企業Defused Cyber​の投稿により、FortinetのFortiClient Endpoint Management Server（EMS）における重大なゼロデイ脆弱性（CVE-2026-35616）が攻撃で悪用されていることが判明した。Fortinetも4日公開のセキュリティアドバイザリで悪用を確認している。

CVE-2026-35616はAPI認証・認可をバイパスできる不適切なアクセス制御の脆弱性とされ、認証されていない攻撃者が細工されたリクエストを介して不正なコードやコマンドを実行できるようになる。Fortinetからはホットフィックスが提供されており、これをインストールすることで「完全に対処」できるという。

影響を受けるバージョンは7.4.5と7.4.6で、7.2ブランチには影響しないとのこと。今後リリース予定の7.4.7にも修正が施されるようだが、8.0ブランチに影響が及ぶかどうかは言及されていない。

Defused Cyber​​は先月末にも、FortiClient EMSの重大なSQLインジェクション脆弱性CVE-2026-21643が未認証のリモート攻撃者に悪用されていると警告していた。なお、この2件のゼロデイが同時に悪用されているかどうかは不明。

大規模クレデンシャルハーベスティングキャンペーンでReact2Shellが悪用される（CVE-2025-55182）

SecurityWeek – April 3, 2026

脅威アクター「UAT-10608」が脆弱なNext.jsアプリケーションを悪用し、侵害したシステムから大量の認証情報を盗み出しているようだ。Cisco Talosのセキュリティ研究チームが警告している。

UAT-10608は自動スキャンを利用し、CVE-2025-55182（CVSSスコア10）の影響を受けるアプリケーションを特定している模様。この脆弱性は認証されていないリモート攻撃者が任意のコードを実行できるReactの重大なバグとされ、サイバーセキュリティコミュニティでは「React2Shell」として追跡されている。

Talosによると、このキャンペーンで24時間以内に少なくとも766件のシステムが侵害され、1万以上のファイルが持ち出されているとのこと。盗まれた情報にはAIプラットフォーム、決済処理業者、AWS、通信プラットフォームのキーに加え、GitHubトークン、データベース接続シークレット、認証トークン、パスワードなどが含まれ、公開されたNexus ListenerインスタンスからはSSH秘密鍵、クラウド認証情報、Kubernetesサービスアカウントトークン、Dockerコンテナ変数、シェルコマンド履歴ファイルも発見されているという。