CVE-2026-35616: Zneužití FortiClient EMS pomocí falešných záplat k nasazení infostealeru EKZ

CVE-2026-35616: Zneužití FortiClient EMS pomocí falešných záplat k nasazení infostealeru EKZ

Kritická zranitelnost v serveru FortiClient Endpoint Management Server od Fortinetu je nyní aktivně zneužívána v praxi. Sledovaná jako CVE-2026-35616 je tato chyba využívána útočníky k šíření infostealeru EKZ prostřednictvím obzvláště klamavé metody: falešné softwarové záplaty. Kampaň zaměřená na krádež přihlašovacích údajů z FortiClient EMS cílí na organizace, které spoléhají na centralizovanou správu koncových bodů, a mění jejich vlastní bezpečnostní infrastrukturu na vektor útoku.

Pro IT a bezpečnostní týmy spravující distribuované nebo vzdálené pracovníky nejde o abstraktní hrozbu. Řetězec útoku je navržen tak, aby působil legitimně, což jej činí obzvláště nebezpečným.

Jak je CVE-2026-35616 zneužívána v reálném prostředí

CVE-2026-35616 nese skóre CVSS 9,1 a umožňuje obejití předběžné autentizace a eskalaci oprávnění v rámci FortiClient EMS. V praxi to znamená, že útočníci mohou získat přístup k serveru pro správu bez platných přihlašovacích údajů a spouštět příkazy se zvýšenými oprávněními.

Tuto kampaň od běžného pokusu o zneužití odlišuje vrstva sociálního inženýrství, která ji obaluje. Útočníci doručují falešnou záplatu maskovanou jako legitimní aktualizaci dotčeného softwaru. Když správce nebo spravovaný koncový bod zpracuje tuto podvodnou záplatu, tiše na pozadí spustí škodlivé příkazy PowerShellu. Oběť vidí zdánlivě běžnou aktualizaci; útočník získá přístup.

Fortinet vydal v dubnu opravy po potvrzení, že zranitelnost byla zneužita jako zranitelnost nultého dne, což znamená, že útoky probíhaly ještě předtím, než byla k dispozici oprava. Organizace, které tyto opravy neaplikovaly, zůstávají zranitelné, ale i opravená prostředí mohou být ohrožena, pokud byla návnada v podobě falešné záplaty doručena před nápravou.

Co infostealer EKZ krade a kdo je ohrožen

Jakmile se škodlivé příkazy PowerShellu spustí, je na kompromitovaném koncovém bodě nasazen infostealer EKZ. Jeho primárním cílem je sběr přihlašovacích údajů. Malware se zaměřuje konkrétně na přihlašovací údaje uložené v prohlížečích, včetně uložených uživatelských jmen a hesel napříč běžně používanými prohlížeči, spolu s dalšími citlivými daty dostupnými na spravovaném počítači.

Protože je FortiClient EMS navržen pro správu koncových bodů napříč organizací z jediné konzole, úspěšná kompromitace neovlivní pouze jeden stroj. Útočníci, kteří získají přístup prostřednictvím serveru EMS, mohou potenciálně dosáhnout na všechny koncové body pod jeho správcovskou působností. Tím je rozsah dopadu jediné zneužití výrazně větší než u izolované kompromitace zařízení.

Nejvíce ohroženy jsou organizace používající FortiClient EMS ke správě vzdálených nebo hybridních pracovníků, kde jsou koncové body rozmístěny v domácích sítích, pobočkách a dalších prostředích mimo tradiční firemní perimetr. Vzdálení pracovníci si často pro pohodlí ukládají přihlašovací údaje do prohlížečů, což z těchto koncových bodů činí vysoce hodnotné cíle pro infostealery.

Proč samotné nástroje pro zabezpečení koncových bodů nestačí pro vzdálené týmy

V této kampani je skryta bolestná ironie. Samotný FortiClient je produktem pro zabezpečení koncových bodů a jeho server pro správu je nyní využíván jako mechanismus pro doručování malwaru. To podtrhuje širší princip, který bezpečnostní týmy často teoreticky uznávají, ale těžko jej zavádějí do praxe: žádný jednotlivý bezpečnostní nástroj sám o sobě nestačí.

Platformy pro zabezpečení koncových bodů jsou cennými součástmi obranné strategie, ale jsou to také software a software má zranitelnosti. Když je centralizovaný nástroj pro správu kompromitován, může neutralizovat ochrany, které měl sám prosazovat. Útočníci to chápou, a proto se rozhraní pro správu a bezpečnostní infrastruktura staly prioritními cíli.

Zejména pro vzdálené týmy se plocha útoku rozšiřuje daleko za spravované zařízení. Síťový provoz, přenos přihlašovacích údajů a autentizační toky procházejí prostředími, která organizace plně nekontroluje. Vrstvené kontroly, včetně ochran na úrovni sítě, politik nulové důvěry a důsledné hygieny přihlašovacích údajů, jsou nezbytnými doplňky nástrojů pro zabezpečení koncových bodů, nikoli volitelnými nadstavbami.

Metoda doručení falešné záplaty použitá v této kampani rovněž ukazuje, jak lze zneužít samotný proces aktualizace. Pokud jsou zaměstnanci či správci zvyklí instalovat záplaty na požádání, mohou útočníci toto chování zneužít jako zbraň. Ověřování pravosti záplat prostřednictvím oficiálních kanálů dodavatele před instalací je zásadním krokem, který se tato kampaň konkrétně snaží obejít.

Jak posílit odolnost organizace proti útokům falešných záplat a infostealerům

Pro organizace provozující FortiClient EMS je okamžitou prioritou aplikace oficiálních oprav od Fortinetu výhradně prostřednictvím ověřených kanálů aktualizace. Nespoléhejte na výzvy nebo odkazy doručené e-mailem, chatem či neznámými rozhraními.

Kromě okamžité záplaty uvádíme několik konkrétních kroků, které stojí za upřednostnění:

• Auditujte spravované koncové body kvůli známkám kompromitace. Hledejte neočekávané spouštění PowerShellu, neobvyklá odchozí připojení nebo důkazy o aktivitě sběru přihlašovacích údajů v datových úložištích prohlížečů.
• Omezte přístup k serveru pro správu. FortiClient EMS by neměl být vystaven veřejnému internetu bez přísných kontrol přístupu. Omezte, kdo a odkud může na rozhraní pro správu přistupovat.
• Vynucujte vícefaktorovou autentizaci na všech bodech vzdáleného přístupu. Ukradené přihlašovací údaje z prohlížečů jsou nejnebezpečnější, když poskytují přímý přístup do firemních systémů. MFA tento řetězec přerušuje.
• Poučte správce o taktikách falešných záplat. Útoky sociálního inženýrství zaměřené na IT personál jsou stále častější. Týmy, které tuto taktiku znají, jí méně pravděpodobně podlehnou.
• Vyhodnoťte kontroly na úrovni sítě pro vzdálené koncové body. Nástroje, které šifrují a ověřují provoz ze vzdálených zařízení, přidávají vrstvu ochrany doplňující zabezpečení koncových bodů, obzvláště když je samotný nástroj pro zabezpečení koncového bodu kompromitován.

Kampaň CVE-2026-35616 je připomínkou, že pochopení rozdílu mezi zalátanou zranitelností a plně zmírněnou hrozbou je důležité. I po aplikaci oprav musí organizace prověřit, zda návnada v podobě falešné záplaty již nebyla v jejich prostředí spuštěna. Načasování záplaty i doplňkové kontroly jsou součástí rovnice, což je přesně důvod, proč bezpečnostní rámce stále častěji pohlížejí na ochranu koncových bodů jako na jednu z mnoha vrstev, nikoli jako na samostatné řešení.

Pokud vaše organizace spravuje vzdálené pracovníky, je nyní vhodná doba na audit nejen nasazení FortiClient EMS, ale celé vaší vrstvené bezpečnostní strategie. Odhalení mezer dříve, než je další kampaň zneužije, je mnohem lepší situace než reakce poté, co už byla přihlašovací data ukradena.