CVE-2026-35616: Παραβίαση του FortiClient EMS μέσω ψεύτικων ενημερώσεων για την εγκατάσταση του EKZ Infostealer

CVE-2026-35616: Παραβίαση του FortiClient EMS μέσω ψεύτικων ενημερώσεων για την εγκατάσταση του EKZ Infostealer

Μια κρίσιμη ευπάθεια στον FortiClient Endpoint Management Server της Fortinet αξιοποιείται πλέον ενεργά σε πραγματικές επιθέσεις. Με κωδικό CVE-2026-35616, το κενό ασφαλείας χρησιμοποιείται από επιτιθέμενους για την ανάπτυξη του κακόβουλου λογισμικού EKZ Infostealer μέσω μιας ιδιαίτερα παραπλανητικής μεθόδου: μιας ψεύτικης ενημέρωσης λογισμικού. Η εκστρατεία κλοπής διαπιστευτηρίων μέσω της ευπάθειας του FortiClient EMS στοχεύει οργανισμούς που βασίζονται στην κεντρική διαχείριση τερματικών, μετατρέποντας την ίδια τους την υποδομή ασφαλείας σε φορέα επίθεσης.

Για τις ομάδες IT και ασφαλείας που διαχειρίζονται κατανεμημένο ή απομακρυσμένο εργατικό δυναμικό, δεν πρόκειται για μια αφηρημένη απειλή. Η αλυσίδα της επίθεσης έχει σχεδιαστεί για να φαίνεται νόμιμη, και αυτό ακριβώς την καθιστά ιδιαίτερα επικίνδυνη.

Πώς Γίνεται η Εκμετάλλευση του CVE-2026-35616 σε Πραγματικές Επιθέσεις

Το CVE-2026-35616 έχει βαθμολογία CVSS 9.1 και επιτρέπει την παράκαμψη προ-ελέγχου ταυτότητας και την κλιμάκωση προνομίων εντός του FortiClient EMS. Πρακτικά, οι επιτιθέμενοι μπορούν να αποκτήσουν πρόσβαση στον διακομιστή διαχείρισης χωρίς έγκυρα διαπιστευτήρια και να εκτελέσουν εντολές με αυξημένα δικαιώματα.

Αυτό που διαφοροποιεί αυτή την εκστρατεία από μια τυπική προσπάθεια εκμετάλλευσης είναι το επίπεδο κοινωνικής μηχανικής που την περιβάλλει. Οι επιτιθέμενοι παραδίδουν μια ψεύτικη ενημέρωση που παρουσιάζεται ως νόμιμη αναβάθμιση για το επηρεαζόμενο λογισμικό. Όταν ένας διαχειριστής ή ένα διαχειριζόμενο τερματικό επεξεργάζεται αυτή την πλαστή ενημέρωση, εκτελεί αθόρυβα κακόβουλες εντολές PowerShell στο παρασκήνιο. Το θύμα βλέπει αυτό που μοιάζει με μια φυσιολογική ενημέρωση· ο επιτιθέμενος αποκτά μία βάση διείσδυσης.

Η Fortinet εξέδωσε επείγουσες διορθώσεις τον Απρίλιο αφού επιβεβαίωσε ότι η ευπάθεια είχε αξιοποιηθεί ως zero-day ευπάθεια, που σημαίνει ότι οι επιθέσεις βρίσκονταν σε εξέλιξη πριν γίνει διαθέσιμη μια διόρθωση. Οι οργανισμοί που δεν έχουν εφαρμόσει αυτές τις επείγουσες διορθώσεις παραμένουν εκτεθειμένοι, αλλά ακόμη και περιβάλλοντα που έχουν ενημερωθεί μπορεί να κινδυνεύουν αν το δόλωμα της ψεύτικης ενημέρωσης είχε ήδη παραδοθεί πριν από την αποκατάσταση.

Τι Κλέβει το EKZ Infostealer και Ποιοι Κινδυνεύουν

Μόλις εκτελεστούν οι κακόβουλες εντολές PowerShell, το EKZ Infostealer εγκαθίσταται στο παραβιασμένο τερματικό. Ο κύριος στόχος του είναι η συλλογή διαπιστευτηρίων. Το κακόβουλο λογισμικό στοχεύει συγκεκριμένα αποθηκευμένα διαπιστευτήρια προγραμμάτων περιήγησης, συμπεριλαμβανομένων ονομάτων χρήστη και κωδικών πρόσβασης σε ευρέως χρησιμοποιούμενους browsers, καθώς και άλλα ευαίσθητα δεδομένα προσβάσιμα στο διαχειριζόμενο μηχάνημα.

Επειδή το FortiClient EMS έχει σχεδιαστεί για να διαχειρίζεται τερματικά σε έναν οργανισμό από μια κεντρική κονσόλα, μια επιτυχής παραβίαση δεν επηρεάζει μόνο ένα μηχάνημα. Οι επιτιθέμενοι που αποκτούν πρόσβαση μέσω του διακομιστή EMS μπορούν δυνητικά να φτάσουν όλα τα τερματικά υπό την ομπρέλα διαχείρισής του. Αυτό καθιστά την ακτίνα ζημιάς ενός μεμονωμένου συμβάντος εκμετάλλευσης σημαντικά μεγαλύτερη από μια μεμονωμένη παραβίαση συσκευής.

Οι οργανισμοί που κινδυνεύουν άμεσα περισσότερο είναι εκείνοι που χρησιμοποιούν το FortiClient EMS για τη διαχείριση απομακρυσμένου ή υβριδικού εργατικού δυναμικού, όπου τα τερματικά είναι κατανεμημένα σε οικιακά δίκτυα, υποκαταστήματα και άλλα περιβάλλοντα εκτός της παραδοσιακής εταιρικής περιμέτρου. Οι απομακρυσμένοι εργαζόμενοι συχνά αποθηκεύουν διαπιστευτήρια στους browsers για ευκολία, καθιστώντας αυτά τα τερματικά στόχους υψηλής αξίας για infostealers.

Γιατί τα Εργαλεία Ασφαλείας Τερματικών Δεν Επαρκούν από Μόνα τους για Απομακρυσμένες Ομάδες

Υπάρχει μια οδυνηρή ειρωνεία ενσωματωμένη σε αυτή την εκστρατεία. Το ίδιο το FortiClient είναι ένα προϊόν ασφαλείας τερματικών, και ο διακομιστής διαχείρισής του χρησιμοποιείται τώρα ως μηχανισμός παράδοσης κακόβουλου λογισμικού. Αυτό υπογραμμίζει μια ευρύτερη αρχή που οι ομάδες ασφαλείας συχνά αναγνωρίζουν θεωρητικά, αλλά δυσκολεύονται να εφαρμόσουν στην πράξη: κανένα μεμονωμένο εργαλείο ασφαλείας δεν είναι επαρκές από μόνο του.

Οι πλατφόρμες ασφαλείας τερματικών είναι πολύτιμα συστατικά μιας στρατηγικής άμυνας, αλλά είναι επίσης λογισμικό, και το λογισμικό έχει ευπάθειες. Όταν ένα κεντρικό εργαλείο διαχείρισης παραβιάζεται, μπορεί να εξουδετερώσει τις προστασίες που είχε σκοπό να επιβάλλει. Οι επιτιθέμενοι το κατανοούν αυτό, γι' αυτό και οι διεπαφές διαχείρισης και οι υποδομές ασφαλείας έχουν γίνει στόχοι υψηλής προτεραιότητας.

Για τις απομακρυσμένες ομάδες ειδικότερα, η επιφάνεια επίθεσης εκτείνεται πολύ πέρα από τη διαχειριζόμενη συσκευή. Η δικτυακή κίνηση, η μετάδοση διαπιστευτηρίων και οι ροές ελέγχου ταυτότητας διέρχονται από περιβάλλοντα που ο οργανισμός δεν ελέγχει πλήρως. Πολυεπίπεδοι έλεγχοι, συμπεριλαμβανομένων προστασιών σε επίπεδο δικτύου, πολιτικών μηδενικής εμπιστοσύνης και ισχυρών πρακτικών υγιεινής διαπιστευτηρίων, είναι απαραίτητα συμπληρώματα στα εργαλεία ασφαλείας τερματικών, όχι προαιρετικές προσθήκες.

Η μέθοδος παράδοσης ψεύτικης ενημέρωσης που χρησιμοποιήθηκε σε αυτή την εκστρατεία αναδεικνύει επίσης πώς η ίδια η διαδικασία ενημέρωσης μπορεί να γίνει αντικείμενο εκμετάλλευσης. Εάν οι εργαζόμενοι ή οι διαχειριστές είναι συνηθισμένοι να εγκαθιστούν ενημερώσεις κατά παραγγελία, οι επιτιθέμενοι μπορούν να οπλίσουν αυτή τη συμπεριφορά. Η επαλήθευση της γνησιότητας των ενημερώσεων μέσω επίσημων καναλιών του κατασκευαστή πριν την εγκατάσταση είναι ένα κρίσιμο βήμα που αυτή η εκστρατεία προσπαθεί συγκεκριμένα να παρακάμψει.

Πώς να Θωρακίσετε τον Οργανισμό σας Απέναντι σε Επιθέσεις με Ψεύτικες Ενημερώσεις και Infostealers

Για οργανισμούς που χρησιμοποιούν το FortiClient EMS, η άμεση προτεραιότητα είναι η εφαρμογή των επίσημων επειγουσών διορθώσεων της Fortinet αποκλειστικά μέσω επαληθευμένων καναλιών ενημέρωσης. Μην βασίζεστε σε προτροπές ή συνδέσμους που παραδίδονται μέσω email, chat ή άγνωστων διεπαφών.

Πέρα από την άμεση ενημέρωση, ακολουθούν συγκεκριμένα βήματα που αξίζει να τεθούν σε προτεραιότητα:

• Έλεγχος διαχειριζόμενων τερματικών για ενδείξεις παραβίασης. Αναζητήστε μη αναμενόμενα συμβάντα εκτέλεσης PowerShell, ασυνήθιστες εξερχόμενες συνδέσεις ή ενδείξεις δραστηριότητας συλλογής διαπιστευτηρίων σε χώρους αποθήκευσης δεδομένων προγραμμάτων περιήγησης.
• Περιορισμός πρόσβασης στον διακομιστή διαχείρισης. Το FortiClient EMS δεν θα πρέπει να είναι εκτεθειμένο στο δημόσιο διαδίκτυο χωρίς αυστηρούς ελέγχους πρόσβασης. Περιορίστε το ποιος μπορεί να έχει πρόσβαση στη διεπαφή διαχείρισης και από πού.
• Επιβολή ελέγχου ταυτότητας πολλαπλών παραγόντων σε όλα τα σημεία απομακρυσμένης πρόσβασης. Τα κλεμμένα διαπιστευτήρια προγραμμάτων περιήγησης είναι πιο επικίνδυνα όταν παρέχουν άμεση πρόσβαση σε εταιρικά συστήματα. Το MFA σπάει αυτή την αλυσίδα.
• Εκπαίδευση των διαχειριστών σχετικά με τακτικές ψεύτικων ενημερώσεων. Οι επιθέσεις κοινωνικής μηχανικής που στοχεύουν προσωπικό IT γίνονται όλο και πιο συχνές. Οι ομάδες που κατανοούν την τακτική είναι λιγότερο πιθανό να πέσουν θύματα.
• Αξιολόγηση ελέγχων σε επίπεδο δικτύου για απομακρυσμένα τερματικά. Εργαλεία που κρυπτογραφούν και πιστοποιούν την κίνηση από απομακρυσμένες συσκευές προσθέτουν ένα επίπεδο προστασίας που συμπληρώνει την ασφάλεια τερματικών, ιδιαίτερα όταν το ίδιο το εργαλείο ασφαλείας τερματικού έχει παραβιαστεί.

Η εκστρατεία CVE-2026-35616 είναι μια υπενθύμιση ότι έχει σημασία να κατανοούμε τη διαφορά μεταξύ μιας ευπάθειας που έχει διορθωθεί και μιας απειλής που έχει πλήρως μετριαστεί. Ακόμη και μετά την εφαρμογή των επειγουσών διορθώσεων, οι οργανισμοί πρέπει να διερευνήσουν αν το δόλωμα της ψεύτικης ενημέρωσης μπορεί να έχει ήδη εκτελεστεί στο περιβάλλον τους. Ο χρόνος εφαρμογής των διορθώσεων και οι συμπληρωματικοί έλεγχοι αποτελούν μέρος της εξίσωσης, και γι' αυτό ακριβώς τα πλαίσια ασφαλείας αντιμετωπίζουν όλο και περισσότερο την προστασία τερματικών ως ένα επίπεδο ανάμεσα σε πολλά, αντί για μια αυτόνομη λύση.

Αν ο οργανισμός σας διαχειρίζεται απομακρυσμένο εργατικό δυναμικό, τώρα είναι μια καλή στιγμή για να ελέγξετε όχι μόνο την ανάπτυξη του FortiClient EMS, αλλά και την ευρύτερη στρατηγική ασφαλείας πολλαπλών επιπέδων. Ο εντοπισμός κενών πριν η επόμενη εκστρατεία τα εκμεταλλευτεί είναι μια πολύ καλύτερη θέση από την αντίδραση αφού τα διαπιστευτήρια έχουν ήδη κλαπεί.