CVE-2026-35616: FortiClient EMS, експлоатиран чрез фалшиви пачове за разпространение на EKZ Infostealer

CVE-2026-35616: FortiClient EMS, експлоатиран чрез фалшиви пачове за разпространение на EKZ Infostealer

Критична уязвимост в сървъра за управление на крайни точки FortiClient EMS на Fortinet понастоящем се използва активно като оръжие в реални атаки. Проследена като CVE-2026-35616, уязвимостта се използва от киберпрестъпници за внедряване на зловредния софтуер EKZ Infostealer чрез особено измамен метод: фалшив софтуерен пач. Кампанията за кражба на идентификационни данни чрез уязвимостта на FortiClient EMS е насочена към организации, които разчитат на централизирано управление на крайните точки, превръщайки собствената им инфраструктура за сигурност във вектор за атака.

За ИТ и екипите по сигурност, управляващи разпределена или отдалечена работна сила, това не е абстрактна заплаха. Веригата на атаката е проектирана да изглежда легитимна, което я прави особено опасна.

Как CVE-2026-35616 се експлоатира в реални атаки

CVE-2026-35616 има CVSS оценка 9.1 и позволява заобикаляне на предварителна автентикация и ескалация на привилегии в рамките на FortiClient EMS. На практика нападателите могат да получат достъп до сървъра за управление без валидни идентификационни данни и да изпълняват команди с повишени привилегии.

Това, което отличава тази кампания от типичен опит за експлоатация, е слоят от социално инженерство, който я обгръща. Киберпрестъпниците доставят фалшив пач, маскиран като легитимна актуализация за засегнатия софтуер. Когато администратор или управлявана крайна точка обработи този измамен пач, той тихо изпълнява злонамерени PowerShell команди във фонов режим. Жертвата вижда привидно нормална актуализация; нападателят получава плацдарм.

Fortinet издаде спешни поправки през април, след като потвърди, че уязвимостта е била експлоатирана като уязвимост от типа „нулев ден“ (zero-day), което означава, че атаките са били в ход, преди да бъде налично решение. Организациите, които не са приложили тези поправки, остават уязвими, но дори и пачнатите среди могат да бъдат изложени на риск, ако примамката с фалшивия пач е била доставена преди отстраняването.

Какво краде EKZ Infostealer и кой е изложен на риск

След като злонамерените PowerShell команди се изпълнят, EKZ Infostealer се разгръща на компрометираната крайна точка. Основната му цел е събиране на идентификационни данни. Зловредният софтуер е насочен специално към идентификационни данни, съхранявани в браузърите, включително записани потребителски имена и пароли в най-често използваните браузъри, както и други чувствителни данни, достъпни на управляваната машина.

Тъй като FortiClient EMS е проектиран да управлява крайните точки в цялата организация от една конзола, успешното компрометиране не засяга само една машина. Нападателите, които получат достъп чрез сървъра на EMS, потенциално могат да достигнат до всички крайни точки под неговия управленски чадър. Това прави радиуса на поражение от единичен експлоатационен инцидент значително по-голям, отколкото при компрометиране на самостоятелно устройство.

Организациите, които са най-пряко изложени на риск, са тези, които използват FortiClient EMS за управление на отдалечена или хибридна работна сила, при която крайните точки са разпределени в домашни мрежи, клонове и други среди извън традиционния корпоративен периметър. Отдалечените служители често съхраняват идентификационни данни в браузърите за удобство, което прави тези крайни точки високоценни цели за крадци на информация.

Защо инструментите за сигурност на крайните точки сами по себе си не са достатъчни за отдалечените екипи

В тази кампания е вградена болезнена ирония. Самият FortiClient е продукт за сигурност на крайните точки, а неговият сървър за управление сега се използва като механизъм за доставка на зловреден софтуер. Това подчертава по-широк принцип, който екипите по сигурност често признават на теория, но трудно прилагат на практика: нито един инструмент за сигурност не е достатъчен сам по себе си.

Платформите за сигурност на крайните точки са ценни компоненти на стратегията за защита, но те също са софтуер, а софтуерът има уязвимости. Когато централизиран инструмент за управление бъде компрометиран, той може да неутрализира защитите, които е трябвало да наложи. Нападателите разбират това, поради което интерфейсите за управление и инфраструктурата за сигурност са се превърнали в приоритетни цели.

За отдалечените екипи в частност, повърхността на атака се простира далеч отвъд управляваното устройство. Мрежовият трафик, предаването на идентификационни данни и потоците за автентикация преминават през среди, които организацията не контролира напълно. Многослойните контроли, включително защити на мрежово ниво, политики за достъп с нулево доверие (zero-trust) и добри практики за хигиена на идентификационните данни, са необходими допълнения към инструментите за сигурност на крайните точки, а не незадължителни екстри.

Методът за доставка чрез фалшив пач, използван в тази кампания, също подчертава как самият процес на актуализация може да бъде експлоатиран. Ако служителите или администраторите са приучени да инсталират пачове при поискване, нападателите могат да превърнат това поведение в оръжие. Проверката на автентичността на пачовете чрез официалните канали на доставчика преди инсталиране е критична стъпка, която тази кампания специално се опитва да заобиколи.

Как да укрепите организацията си срещу атаки с фалшиви пачове и крадци на информация (infostealer)

За организациите, които използват FortiClient EMS, непосредственият приоритет е прилагането на официалните спешни поправки на Fortinet само чрез проверени канали за актуализация. Не разчитайте на подкани или връзки, доставени чрез имейл, чат или непознати интерфейси.

Освен незабавното прилагане на пача, ето конкретни стъпки, които си струва да бъдат приоритизирани:

• Одитирайте управляваните крайни точки за признаци на компрометиране. Търсете неочаквани събития на изпълнение на PowerShell, необичайни изходящи връзки или доказателства за извличане на идентификационни данни от хранилищата на браузърите.
• Ограничете достъпа до сървъра за управление. FortiClient EMS не трябва да бъде изложен на публичния интернет без строги контроли за достъп. Ограничете кой може да достигне интерфейса за управление и откъде.
• Приложете многофакторна автентикация за всички точки за отдалечен достъп. Откраднатите идентификационни данни от браузъри са най-опасни, когато осигуряват директен достъп до корпоративните системи. МFA прекъсва тази верига.
• Обучете администраторите за тактиките с фалшиви пачове. Атаките чрез социално инженерство, насочени към ИТ персонала, стават все по-чести. Екипите, които разбират тактиката, е по-малко вероятно да станат нейна жертва.
• Оценете контролите на мрежово ниво за отдалечените крайни точки. Инструменти, които криптират и удостоверяват трафика от отдалечени устройства, добавят слой на защита, който допълва сигурността на крайните точки, особено когато самият инструмент за сигурност на крайните точки е компрометиран.

Кампанията CVE-2026-35616 е напомняне, че разбирането на разликата между закърпена уязвимост и напълно смекчена заплаха има значение. Дори след като са приложени спешни поправки, организациите трябва да проучат дали примамката с фалшивия пач не е била вече изпълнена в тяхната среда. Времето за прилагане на пачовете и допълнителните контроли са част от уравнението, което е точно причината рамките за сигурност все повече да третират защитата на крайните точки като един слой сред много, а не като самостоятелно решение.

Ако вашата организация управлява отдалечена работна сила, сега е подходящ момент да одитирате не само внедряването на FortiClient EMS, но и цялостната си многослойна стратегия за сигурност. Идентифицирането на пропуски, преди следващата кампания да ги експлоатира, е далеч по-добра позиция, отколкото да реагирате, след като идентификационните данни вече са били откраднати.