Fortinet 9.1分漏洞被盯上3個月

3月31日，WatchTowr的蜜罐第一次報警。攻擊者像試探門鎖的竊賊，輕輕撥弄FortiClient EMS的門把手——沒人知道他們已經(jīng)在暗處蹲了多久。

直到4月5日周末，F(xiàn)ortinet才扔出一枚緊急補丁。漏洞編號CVE-2026-35616，CVSS評分9.1，無需認(rèn)證就能遠(yuǎn)程執(zhí)行代碼。公司發(fā)言人給The Register的回復(fù)很標(biāo)準(zhǔn)："PSIRT響應(yīng)和修復(fù)工作仍在進(jìn)行，我們正直接與客戶溝通必要措施。"

翻譯一下：我們也被打了個措手不及。

從"低慢速"到"狂轟濫炸"的48小時

WatchTowr CEO Benjamin Harris的團(tuán)隊最早捕獲攻擊痕跡。他們的蜜罐基礎(chǔ)設(shè)施像散布在互聯(lián)網(wǎng)上的假保險箱，專門記錄誰想來撬鎖。

周一，WatchTowr主動威脅情報負(fù)責(zé)人Ryan Dewhurst向The Register描述了攻擊節(jié)奏的變化。最初是"謹(jǐn)慎的低慢速利用"——攻擊者在測試，在確認(rèn)這個洞真的能用。但零日漏洞（0-day，即未公開補丁的漏洞）一旦被曝光，游戲規(guī)則立刻改變。

" exploitation stops being quiet and targeted - with a clear shift to leverage their zero-day opportunistically and as indiscriminately as possible before patches begin to be applied，" Dewhurst說。他的原話很直白：趁補丁還沒鋪開，能撈多少撈多少。

這種劇本安全圈太熟悉了。2021年Log4j漏洞公開后，攻擊流量在72小時內(nèi)暴漲10倍。FortiClient EMS的暴露面雖小，但價值極高——這是企業(yè)用來集中管理遠(yuǎn)程和辦公電腦的核心工具，一旦被控，等于拿到整棟樓的萬能鑰匙。

VulnCheck安全研究副總裁Caitlin Condon給了個相對寬慰的數(shù)字：她的團(tuán)隊觀測到約100個面向互聯(lián)網(wǎng)的FortiClient EMS實例。但"面向互聯(lián)網(wǎng)"和"實際部署"是兩回事，很多企業(yè)把管理后臺藏在內(nèi)網(wǎng)，不代表絕對安全——VPN跳板、供應(yīng)鏈污染、釣魚郵件，攻擊者有的是辦法迂回。

CISA的72小時倒計時

周一，美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）把CVE-2026-35616塞進(jìn)已知被利用漏洞目錄（KEV Catalog）。聯(lián)邦機構(gòu)收到死命令：周四前必須打完補丁。

這個時間表壓縮得近乎粗暴。常規(guī)漏洞從公開到強制修復(fù)通常給30天，CISA這次只給72小時。唯一合理的解釋是：他們評估威脅等級時，看到了沒公開的細(xì)節(jié)。

Fortinet拒絕回答The Register的兩個關(guān)鍵問題：誰在利用這個漏洞？多少客戶已經(jīng)中招？這種沉默本身是種回答——要么調(diào)查還在進(jìn)行，要么影響范圍大到不方便說。

歷史記錄提供了一些線索。俄羅斯和中國背景的國家黑客，過去曾專門盯上FortiClient EMS的漏洞。對企業(yè)安全團(tuán)隊來說，國家級APT（高級持續(xù)性威脅）和 opportunistic 攻擊者的區(qū)別，就像被專業(yè)殺手盯上和被隨機搶劫——前者更難察覺，后者更頻繁。

FortiClient的"漏洞月"

這是FortiClient系列三周內(nèi)第二個被野外利用的 critical 漏洞。3月底，CVE-2026-21643同樣導(dǎo)致未認(rèn)證遠(yuǎn)程代碼執(zhí)行，安全研究員已觀察到活躍利用。

兩個漏洞的共同點值得玩味：都繞過了認(rèn)證環(huán)節(jié)，都針對企業(yè)級管理組件。FortiClient EMS的設(shè)計初衷是簡化終端安全運維，但集中化管理天然就是單點故障——管得越多，一旦被突破，損失越大。

Fortinet的補丁策略也引發(fā)一些討論。這次緊急修復(fù)針對7.4.5和7.4.6版本，但更早版本是否受影響？公司沒給明確清單。企業(yè)IT的噩夢場景是：你以為自己安全了，實際只是沒被列入通報范圍。

Dewhurst的忠告被多家安全媒體引用："打熱修復(fù)的最佳時間是昨天，第二佳時間是現(xiàn)在。"這句話的修辭技巧在于，它同時承認(rèn)了兩種不可能——你回不去昨天，所以只能選現(xiàn)在。

對25-40歲的技術(shù)從業(yè)者來說，這個案例的啟示很具體。你的企業(yè)如果用FortiClient EMS，檢查版本號比讀十篇分析都管用。如果沒暴露到公網(wǎng)，別掉以輕心，檢查VPN配置和內(nèi)部網(wǎng)絡(luò)分段。CISA的72小時 deadline 是給聯(lián)邦機構(gòu)的，但攻擊者不會區(qū)分公私靶子。

Fortinet的PSIRT還在"ongoing"。這個詞在公關(guān)話術(shù)里通常意味著：我們知道的比我們說的多，但能說的時候再說。

你的企業(yè)終端管理工具，上次全面清點版本是什么時候？