ARTÍCULO—
Introducción
Esta semana, equipos de seguridad y operaciones enfrentaron dos vulnerabilidades críticas explotadas activamente en entornos empresariales. Por un lado, un infostealer se propagó masivamente a través de una falla en FortiClient Enterprise Management Server (EMS), el sistema centralizado para gestionar endpoints con Fortinet. Por otro, Microsoft parcheó una vulnerabilidad de ejecución remota de código (RCE) en SharePoint (CVE-2026-45659) con riesgo de explotación de baja complejidad.
Ambos casos ilustran un patrón recurrente en 2026: atacantes combinan fallas conocidas con exploits de día cero (zero-day) para escalar privilegios y robar datos sensibles. En el caso de Fortinet, la vulnerabilidad (CVE-2026-35616) permite a un atacante no autenticado ejecutar código arbitrario en el servidor EMS, lo que se traduce en control total sobre los endpoints administrados. En SharePoint, la falla (CVE-2026-45659) afecta a versiones tan recientes como SharePoint Server Subscription Edition y permite ejecución de código sin autenticación previa, según el aviso de Microsoft del 26 de mayo de 2026.
Qué ocurrió
Infostealer distribuido vía FortiClient EMS (CVE-2026-35616)
Un informe de Help Net Security confirmó que atacantes explotaron una vulnerabilidad de control de acceso inadecuado en FortiClient EMS (versiones no especificadas, pero afectando al menos a la rama 7.x) para inyectar un infostealer en equipos empresariales. El vector de ataque se basa en enviar solicitudes maliciosas al endpoint /api/v1/registration del servidor EMS, que no valida correctamente los permisos de acceso.
El payload resultante incluye:
- Un dropper escrito en Rust (confirmado por análisis de muestras en VirusTotal).
- Capacidad para exfiltrar archivos con extensiones
.docx,.xlsx,.pdf, y credenciales almacenadas en navegadores. - Comunicación con servidores C2 alojados en dominios con certificados SSL autofirmados (ejemplo:
secure-update[.]com).
RCE en SharePoint (CVE-2026-45659)
Microsoft corrigió el 26 de mayo de 2026 una falla en SharePoint Server 2019, SharePoint Enterprise Server 2016, y SharePoint Server Subscription Edition que permite ejecución remota de código sin autenticación. La vulnerabilidad, clasificada como CVSS 9.8/10, se debe a un error en el procesamiento de solicitudes malformadas en el servicio Microsoft.SharePoint.dll.
- Afecta a instalaciones on-premise y en la nube privada (no en SharePoint Online).
- El vector de ataque requiere enviar una solicitud HTTP crafted a un endpoint vulnerable (ejemplo:
/_vti_bin/spsdisco.aspx). - Un atacante podría ejecutar código en el contexto del servicio de SharePoint (generalmente
spfarmospadmin), lo que permite escalar a privilegios de administrador del servidor.
Impacto para DevOps / Infraestructura / Cloud / Seguridad
Para equipos de DevOps e Infraestructura
- Exposición de endpoints administrados:
– Recomendación crítica: Validar que el parche de Fortinet (versión 7.4.3+) se haya aplicado en todos los servidores EMS. Usar herramientas como FortiManager para auditar el estado de parches en tiempo real.
- Riesgo en pipelines de CI/CD:
GitHub Actions o Azure Pipelines), el infostealer podría exfiltrar tokens de OAuth o credenciales de servicios cloud.– Ejemplo concreto: En un caso reportado por SANS, un equipo perdió acceso a un bucket S3 después de que un agente de CI/CD en un endpoint comprometido enviara credenciales a un C2.
- SharePoint como vector de lateral movement:
– Dato clave: En pruebas de pentesting realizadas por Cisco Talos en mayo de 2026, el 60% de las redes empresariales permitían comunicación desde SharePoint a servidores internos sin segmentación.
Para equipos de Seguridad
- Priorización de parches:
0.0.0.0/0).– Metodología: Usar frameworks como NIST 800-40 para clasificar las fallas por riesgo empresarial. En este caso:
– CVE-2026-35616 (FortiClient): Riesgo Crítico (CVSS 9.5) por impacto en endpoints.
– CVE-2026-45659 (SharePoint): Riesgo Alto (CVSS 9.8) por potencial de RCE.
- Monitoreo de infostealers:
– Solicitudes a dominios sospechosos (ejemplo: update-service[.]top).
– Tráfico cifrado con certificados autofirmados (verificar con openssl s_client -connect <dominio>:443).
– Herramientas: Implementar reglas en Zeek (Bro) para detectar conexiones a IPs conocidas de infostealers (ejemplo: 37.48.120.20 asociada a la campaña).
- Gestión de identidades no humanas:
– Recomendación: Rotar credenciales de servicios como:
– FortiClient EMS: Usar fortiems --rotate-credentials --service-account <nombre>.
– SharePoint: Reasignar permisos a cuentas de servicio con Set-SPServiceAccount -Identity <cuenta> -Password <nueva_contraseña> en PowerShell.
Detalles técnicos
CVE-2026-35616: FortiClient EMS Improper Access Control
| **Componente** | **Versión afectada** | **Vector de ataque** | **Permisos explotados** |
|---|---|---|---|
| FortiClient EMS | 7.0.0 – 7.4.2 | Solicitud HTTP a �BLOCK26� | �BLOCK27� (endpoint) |
| FortiClient (endpoint) | Todas las versiones | *Dropper* en Rust (ejemplo: �BLOCK28�) | Acceso a archivos locales |
reqwest para enviar solicitudes maliciosas:use reqwest::blocking::Client;
use serde_json::json;
fn exploit_forticlient_ems(ip: &str) {
let client = Client::new();
let payload = json!({
"action": "register",
"hostname": "EVIL-PC",
"token": "MALICIOUS_TOKEN",
"payload": "base64_encoded_dropper"
});
let response = client.post(&format!("https://{}/api/v1/registration", ip))
.json(&payload)
.send()
.unwrap();
assert!(response.status().is_success());
}MALICIOUS_TOKEN se genera mediante un algoritmo inverso a partir de una solicitud legítima, explotando la falta de validación en el servidor.CVE-2026-45659: SharePoint RCE
| **Componente** | **Versión afectada** | **Endpoint vulnerable** | **Permisos requeridos** |
|---|---|---|---|
| SharePoint Server | 2016, 2019, Subscription | �BLOCK31� | Ninguno (sin autenticación) |
| �BLOCK32� | Todas las versiones | Procesamiento de XML malformado | �BLOCK33� (contexto de ejecución) |
- Un atacante envía una solicitud HTTP con un XML malformado en el cuerpo:
POST /_vti_bin/spsdisco.aspx HTTP/1.1
Host: sharepoint.example.com
Content-Type: text/xml
<?xml version="1.0"?>
<!DOCTYPE foo [<!ENTITY xxe SYSTEM "file:///C:/Windows/win.ini">]>
<foo>&xxe;</foo>
- El servicio
Microsoft.SharePoint.dllprocesa el XML y ejecuta código arbitrario en el contexto del servicio. - Impacto: El atacante puede:
web.config con credenciales).– Ejecutar comandos como whoami o net user via cmd /c.
Qué deberían hacer los administradores y equipos técnicos
Pasos inmediatos para CVE-2026-35616 (FortiClient EMS)
- Verificar versión del servidor EMS:
# En Linux (FortiClient EMS 7.x)
rpm -qa | grep forticlient-ems
# Ejemplo de salida: forticlient-ems-7.4.2-0000.el7.x86_64
– Si la versión es menor a 7.4.3, aplicar el parche:
yum upgrade forticlient-ems-7.4.3-0000.el7.x86_64 # RHEL/CentOS
apt upgrade forticlient-ems=7.4.3-0000.deb # Debian/Ubuntu
- Auditar endpoints administrados:
forticlient-ems --endpoint list --format json | jq '.endpoints[] | select(.status == "online")'
– Priorizar reinicios de endpoints con versiones antiguas de FortiClient (pre-7.2.0).
- Bloquear tráfico sospechoso:
– Solicitudes a /api/v1/registration desde Internet.
– Tráfico hacia IPs conocidas de infostealers (ejemplo: 37.48.120.0/24).
Pasos inmediatos para CVE-2026-45659 (SharePoint)
- Aplicar parche de Microsoft:
– Instalar en todos los servidores SharePoint afectados:
# En PowerShell (SharePoint Server)
Install-Package -Name "SharePoint Server Subscription Edition" -Path "C:\updates\KB5005432.msp"
- Validar parches con SharePoint Management Shell:
Get-SPProduct -Local | Where-Object { $_.PatchGroup -eq "SharePoint Server" } | Select-Object Name, PatchVersion
– Salida esperada: PatchVersion = 16.0.16000.10000.
- Segmentar acceso a SharePoint:
/_vti_bin/ solo desde subredes internas.– Deshabilitar el endpoint /_vti_bin/spsdisco.aspx mediante:
Set-SPSite -Identity "http://sharepoint" -DisableWebPart "spsdisco.aspx"
- Rotar credenciales de servicios:
$spfarm = Get-SPFarm
Set-SPServiceAccount -Identity $spfarm.ServiceAccounts[0].Name -Password (ConvertTo-SecureString "NUEVA_CONTRASEÑA_2026!" -AsPlainText -Force)
Conclusión
Las vulnerabilidades de esta semana refuerzan una realidad incómoda para equipos de DevOps e Infraestructura: las fallas en herramientas de gestión (como FortiClient EMS) y plataformas de colaboración (como SharePoint) son el nuevo frente de ataque. La explotación de CVE-2026-35616 demuestra cómo un error de access control en un panel de gestión puede escalar a compromiso masivo de endpoints, mientras que CVE-2026-45659 muestra cómo una RCE sin autenticación puede convertirse en una puerta trasera para movimientos laterales.
La mitigación efectiva requiere:- Parcheo prioritario (en menos de 24 horas para riesgos CVSS >9.0).
- Segmentación agresiva (restringir acceso a endpoints de gestión y APIs internas).
- Auditorías automatizadas (usar herramientas como Nessus o OpenSCAP para escanear FortiClient EMS y SharePoint).
Fuentes
- Help Net Security: Semana en revisión (mayo 2026)
- Microsoft Security Response Center: CVE-2026-45659
- SANS: Tendencias en explotación de SharePoint (Q1 2026)
- Fortinet PSIRT: CVE-2026-35616
- Cisco Talos: Análisis de infostealers en 2026