CVE-2026-35616: FortiClient EMS udnyttet via falske patches til at droppe EKZ Infostealer

CVE-2026-35616: FortiClient EMS udnyttet via falske patches til at droppe EKZ Infostealer

En kritisk sårbarhed i Fortinets FortiClient Endpoint Management Server bliver nu aktivt udnyttet i naturen. Sporet som CVE-2026-35616, bliver fejlen brugt af trusselsaktører til at droppe EKZ Infostealer-malware via en særligt vildledende metode: en falsk softwareopdatering. Kampagnen, der udnytter FortiClient EMS-sårbarheden til at stjæle legitimationsoplysninger, retter sig mod organisationer, der er afhængige af centraliseret endpoint-administration, og gør deres egen sikkerhedsinfrastruktur til en angrebsvektor.

For IT- og sikkerhedsteams, der administrerer distribuerede eller fjernarbejdsstyrker, er dette ikke en abstrakt trussel. Angrebskæden er designet til at se legitim ud, hvilket gør den særligt farlig.

Hvordan CVE-2026-35616 udnyttes i naturen

CVE-2026-35616 har en CVSS-score på 9,1 og muliggør bypass af præ-autentifikation samt rettighedseskalering i FortiClient EMS. I praksis betyder det, at angribere kan få adgang til administrationsserveren uden gyldige legitimationsoplysninger og udføre kommandoer med forhøjede rettigheder.

Det, der adskiller denne kampagne fra et typisk udnyttelsesforsøg, er det social engineering-lag, der omgiver den. Trusselsaktører leverer en falsk patch, der er forklædt som en legitim opdatering til den berørte software. Når en administrator eller et administreret endpoint behandler denne svigagtige patch, udfører den ondsindede PowerShell-kommandoer i baggrunden uden at give lyd fra sig. Offeret ser, hvad der ligner en normal opdatering, mens angriberen får fodfæste.

Fortinet udsendte hotfixes i april efter at have bekræftet, at sårbarheden var blevet udnyttet som en zero-day sårbarhed, hvilket betyder, at angreb var i gang, før en rettelse var tilgængelig. Organisationer, der ikke har anvendt disse hotfixes, forbliver sårbare, men selv patchede miljøer kan være i fare, hvis den falske patch allerede var blevet leveret, inden afhjælpningen fandt sted.

Hvad EKZ Infostealer stjæler, og hvem der er i fare

Når de ondsindede PowerShell-kommandoer er blevet udført, deployeres EKZ Infostealer på det kompromitterede endpoint. Dens primære mål er at høste legitimationsoplysninger. Malwaren retter sig specifikt mod browserlagrede legitimationsoplysninger, herunder gemte brugernavne og adgangskoder på tværs af almindeligt anvendte browsere, samt andre følsomme data, der er tilgængelige på den administrerede maskine.

Da FortiClient EMS er designet til at administrere endpoints på tværs af en organisation fra en enkelt konsol, påvirker et vellykket kompromittering ikke kun én maskine. Angribere, der får adgang gennem EMS-serveren, kan potentielt nå alle endpoints under dens administrationsparaply. Det gør eksplosionsradius for en enkelt udnyttelseshændelse betydeligt større end ved et kompromittering af en enkelt enhed.

De organisationer, der er mest direkte i fare, er dem, der bruger FortiClient EMS til at administrere fjernarbejdsstyrker eller hybride arbejdsstyrker, hvor endpoints er fordelt på hjemmenetværk, afdelingskontorer og andre miljøer uden for det traditionelle virksomhedsperimeter. Fjernarbejdere gemmer ofte legitimationsoplysninger i browsere for nemheds skyld, hvilket gør disse endpoints til højværdimål for infostealere.

Hvorfor endpoint-sikkerhedsværktøjer alene ikke er nok til fjernarbejdsteams

Der er en smertelig ironi indlejret i denne kampagne. FortiClient er i sig selv et endpoint-sikkerhedsprodukt, og dets administrationsserver bliver nu brugt som leveringsmekanisme for malware. Dette understreger et bredere princip, som sikkerhedsteams ofte anerkender i teorien, men har svært ved at operationalisere i praksis: intet enkelt sikkerhedsværktøj er tilstrækkeligt alene.

Endpoint-sikkerhedsplatforme er værdifulde komponenter i en forsvarsstrategi, men de er også software, og software har sårbarheder. Når et centraliseret administrationsværktøj kompromitteres, kan det neutralisere de beskyttelser, det var beregnet til at håndhæve. Angribere forstår dette, hvilket er grunden til, at administrationsgrænseflader og sikkerhedsinfrastruktur er blevet højprioritetsmål.

Især for fjernarbejdsteams strækker angrebsfladen sig langt ud over den administrerede enhed. Netværkstrafik, overførsel af legitimationsoplysninger og autentifikationsstrømme passerer alle gennem miljøer, som organisationen ikke har fuld kontrol over. Lagdelte kontroller, herunder netværksbaserede beskyttelser, zero-trust adgangspolitikker og stærke praksisser for legitimationshygiejne, er nødvendige supplementer til endpoint-sikkerhedsværktøjer, ikke valgfri ekstraudstyr.

Den falske patch-leveringsmetode, der anvendes i denne kampagne, fremhæver også, hvordan selve opdateringsprocessen kan udnyttes. Hvis medarbejdere eller administratorer er vant til at installere patches på forespørgsel, kan angribere våbenføre denne adfærd. At verificere ægtheden af patches via officielle leverandørkanaler, før installation finder sted, er et kritisk trin, som denne kampagne specifikt forsøger at omgå.

Sådan hærder du din organisation mod falske patches og infostealer-angreb

For organisationer, der kører FortiClient EMS, er den umiddelbare prioritet at anvende Fortinets officielle hotfixes udelukkende via verificerede opdateringskanaler. Stol ikke på opfordringer eller links, der leveres via e-mail, chat eller ukendte grænseflader.

Ud over den umiddelbare patch er her konkrete trin, der er værd at prioritere:

• Revidér administrerede endpoints for tegn på kompromittering. Se efter uventede PowerShell-udførselshændelser, usædvanlige udgående forbindelser eller tegn på legitimationsskrabningsaktivitet i browserdatabutikker.
• Begræns adgangen til administrationsserveren. FortiClient EMS bør ikke eksponeres for det offentlige internet uden strenge adgangskontroller. Begræns, hvem der kan nå administrationsgrænsefladen og hvorfra.
• Håndhæv multi-faktor autentificering på tværs af alle fjernadgangspunkter. Stjålne browserlegitimationsoplysninger er farligst, når de giver direkte adgang til virksomhedssystemer. MFA bryder den kæde.
• Uddann administratorer om falske patch-taktikker. Social engineering-angreb rettet mod IT-personale bliver stadig mere almindelige. Teams, der forstår taktikken, er mindre tilbøjelige til at falde for den.
• Evaluer netværksbaserede kontroller for fjernendpoints. Værktøjer, der krypterer og autentificerer trafik fra fjerne enheder, tilføjer et lag af beskyttelse, der supplerer endpoint-sikkerhed, især når et endpoint-sikkerhedsværktøj selv er kompromitteret.

CVE-2026-35616-kampagnen er en påmindelse om, at det er vigtigt at forstå forskellen mellem en patchet sårbarhed og en fuldt afbødet trussel. Selv efter at hotfixes er anvendt, skal organisationer undersøge, om det falske patch-lokkemiddel allerede kan være blevet udført i deres miljø. Tidspunktet for patching og supplerende kontroller er begge dele af ligningen, hvilket netop er grunden til, at sikkerhedsrammer i stigende grad behandler endpoint-beskyttelse som ét lag blandt mange snarere end en selvstændig løsning.

Hvis din organisation administrerer en fjernarbejdsstyrke, er det nu et godt tidspunkt at revidere ikke kun din FortiClient EMS-implementering, men også din bredere lagdelte sikkerhedsstrategi. At identificere huller, før den næste kampagne udnytter dem, er en langt bedre position end at reagere, efter at legitimationsoplysninger allerede er blevet stjålet.