CVE-2026-35616: FortiClient EMS:ää hyödynnetään väärennettyjen korjausten avulla EKZ Infostealerin levittämiseen

CVE-2026-35616: FortiClient EMS:ää hyödynnetään väärennettyjen korjausten avulla EKZ Infostealerin levittämiseen

Fortinetin FortiClient Endpoint Management Serverissä olevaa kriittistä haavoittuvuutta hyödynnetään nyt aktiivisesti villissä luonnossa. Jäljitettynä CVE-2026-35616:ksi, vikaa käyttävät hyväkseen hyökkääjät levittääkseen EKZ Infostealer -haittaohjelmaa erityisen petollisen menetelmän avulla: väärennetyn ohjelmistokorjauksen kautta. FortiClient EMS:n haavoittuvuuden valtuustietojen varastamiskampanja kohdistuu organisaatioihin, jotka luottavat keskitettyyn päätelaitteiden hallintaan, muuttaen niiden oman tietoturvainfrastruktuurin hyökkäysvektoriksi.

Hajautettuja tai etätyövoimia hallinnoiville IT- ja tietoturvatiimeille tämä ei ole abstrakti uhka. Hyökkäysketju on suunniteltu näyttämään oikeutetulta, mikä tekee siitä erityisen vaarallisen.

Miten CVE-2026-35616:ta hyödynnetään villissä luonnossa

CVE-2026-35616:n CVSS-pistemäärä on 9,1, ja se mahdollistaa esitodennuksen ohituksen ja etuoikeuksien korottamisen FortiClient EMS:ssä. Käytännössä hyökkääjät voivat päästä hallintapalvelimelle ilman voimassa olevia tunnistetietoja ja suorittaa komentoja korotetuilla oikeustasoilla.

Mikä erottaa tämän kampanjan tyypillisestä hyödyntämisyrityksestä on sen ympärille kiedottu sosiaalisen manipuloinnin kerros. Hyökkääjät toimittavat väärennetyn korjauksen, joka on naamioitu haavoittuneen ohjelmiston oikeutetuksi päivitykseksi. Kun järjestelmänvalvoja tai hallittu päätelaite käsittelee tämän petollisen korjauksen, se suorittaa hiljaa taustalla haitallisia PowerShell-komentoja. Uhri näkee näennäisesti normaalin päivityksen; hyökkääjä saa jalansijan.

Fortinet julkaisi pikakorjauksia huhtikuussa vahvistettuaan, että haavoittuvuutta oli hyödynnetty nollapäivähaavoittuvuutena, mikä tarkoittaa, että hyökkäykset olivat käynnissä ennen kuin korjausta oli saatavilla. Organisaatiot, jotka eivät ole asentaneet näitä pikakorjauksia, pysyvät alttiina, mutta jopa korjatut ympäristöt voivat olla vaarassa, jos väärennetyn korjauksen ansa on jo toimitettu ennen korjaustoimenpiteitä.

Mitä EKZ Infostealer varastaa ja ketkä ovat vaarassa

Kun haitalliset PowerShell-komennot suoritetaan, EKZ Infostealer levitetään vaarantuneelle päätelaitteelle. Sen ensisijainen tavoite on valtuustietojen kerääminen. Haittaohjelma kohdistuu erityisesti selaimiin tallennettuihin tunnistetietoihin, mukaan lukien tallennetut käyttäjätunnukset ja salasanat yleisimmin käytetyissä selaimissa, sekä muihin arkaluontoisiin tietoihin, jotka ovat saatavilla hallitulla koneella.

Koska FortiClient EMS on suunniteltu hallitsemaan päätelaitteita koko organisaatiossa yhdestä konsolista käsin, onnistunut vaarantaminen ei vaikuta vain yhteen koneeseen. Hyökkääjät, jotka saavat pääsyn EMS-palvelimen kautta, voivat mahdollisesti tavoittaa kaikki sen hallintasateenvarjon alla olevat päätelaitteet. Tämä tekee yksittäisen hyödyntämistapahtuman vaikutussäteestä huomattavasti suuremman kuin erillisen laitteen vaarantumisesta.

Suorimmin vaarassa ovat organisaatiot, jotka käyttävät FortiClient EMS:ää etä- tai hybridityövoimien hallintaan, joissa päätelaitteet ovat hajautettuina kotiverkkoihin, sivutoimistoihin ja muihin ympäristöihin perinteisen yritysverkon ulkopuolella. Etätyöntekijät tallentavat usein tunnistetietoja selaimiin mukavuussyistä, mikä tekee noista päätelaitteista arvokkaita kohteita infovarastajille.

Miksi pelkät päätelaitteiden tietoturvatyökalut eivät riitä etätiimeille

Tähän kampanjaan sisältyy kipeä ironia. FortiClient itsessään on päätelaitteiden tietoturvatuote, ja sen hallintapalvelinta käytetään nyt haittaohjelmien toimitusmekanismina. Tämä korostaa laajempaa periaatetta, jonka tietoturvatiimit usein tunnustavat teoriassa, mutta jota heidän on vaikea toteuttaa käytännössä: mikään yksittäinen tietoturvatyökalu ei ole riittävä yksinään.

Päätelaitteiden tietoturva-alustat ovat arvokkaita puolustusstrategian komponentteja, mutta ne ovat myös ohjelmistoja, ja ohjelmistoissa on haavoittuvuuksia. Kun keskitetty hallintatyökalu vaarantuu, se voi kumota suojaukset, joiden toteuttamiseksi se oli tarkoitettu. Hyökkääjät ymmärtävät tämän, minkä vuoksi hallintarajapinnoista ja tietoturvainfrastruktuurista on tullut korkean prioriteetin kohteita.

Erityisesti etätiimeille hyökkäyspinta ulottuu paljon hallittua laitetta laajemmalle. Verkkoliikenne, valtuustietojen siirto ja todennusvirrat kulkevat kaikki ympäristöjen kautta, joita organisaatio ei täysin hallitse. Kerrokselliset hallintakeinot, mukaan lukien verkkotason suojaukset, nollaluottamuksen pääsykäytännöt ja vahvat valtuustietojen hygieniakäytännöt, ovat välttämättömiä täydennyksiä päätelaitteiden tietoturvatyökaluille, eivät valinnaisia lisukkeita.

Tässä kampanjassa käytetty väärennettyjen korjausten toimitusmenetelmä korostaa myös sitä, kuinka itse päivitysprosessia voidaan hyödyntää. Jos työntekijät tai järjestelmänvalvojat on totutettu asentamaan korjauksia pyynnöstä, hyökkääjät voivat aseistaa tämän käyttäytymisen. Korjausten aitouden tarkistaminen virallisten toimittajakanavien kautta ennen asennusta on kriittinen vaihe, jonka tämä kampanja nimenomaan pyrkii kiertämään.

Kuinka koventaa organisaatiosi väärennettyjä korjauksia ja infovarastajahyökkäyksiä vastaan

FortiClient EMS:ää käyttäville organisaatioille välitön prioriteetti on Fortinetin virallisten pikakorjausten asentaminen ainoastaan vahvistettujen päivityskanavien kautta. Älä luota sähköpostilla, chatilla tai tuntemattomilla rajapinnoilla toimitettuihin kehotteisiin tai linkkeihin.

Välittömän korjauksen lisäksi tässä on konkreettisia askelia, joita kannattaa priorisoida:

• Tarkasta hallitut päätelaitteet vaarantumisen merkkien varalta. Etsi odottamattomia PowerShellin suoritustapahtumia, epätavallisia lähteviä yhteyksiä tai todisteita valtuustietojen kalastelutoiminnasta selainten tietovarastoissa.
• Rajoita hallintapalvelimen käyttöä. FortiClient EMS:ää ei pitäisi altistaa julkiseen internetiin ilman tiukkoja pääsynhallintoja. Rajoita, kuka voi tavoittaa hallintajapinnan ja mistä.
• Pakota monivaiheinen todennus kaikissa etäyhteyspisteissä. Varastetut selainten tunnistetiedot ovat vaarallisimpia, kun ne antavat suoran pääsyn yritysjärjestelmiin. MFA katkaisee tämän ketjun.
• Kouluta järjestelmänvalvojia väärennettyjen korjausten taktiikoista. IT-henkilöstöön kohdistuvat sosiaalisen manipuloinnin hyökkäykset ovat yhä yleisempiä. Tiimit, jotka ymmärtävät taktiikan, joutuvat harvemmin sen huijaamaksi.
• Arvioi verkkotason hallintakeinot etäpäätelaitteille. Työkalut, jotka salaavat ja todentavat etälaitteiden liikenteen, lisäävät suojakerroksen, joka täydentää päätelaiteturvaa erityisesti silloin, kun itse päätelaitteen tietoturvatyökalu on vaarantunut.

CVE-2026-35616-kampanja on muistutus siitä, että korjatun haavoittuvuuden ja täysin lievennetyn uhan välisen eron ymmärtämisellä on merkitystä. Vielä pikakorjausten asentamisen jälkeenkin organisaatioiden on tutkittava, onko väärennetyn korjauksen ansa mahdollisesti jo suoritettu niiden ympäristössä. Korjauksen ajoitus ja täydentävät hallintakeinot ovat molemmat osa yhtälöä, mikä on juuri syy siihen, miksi tietoturvakehykset kohtelevat päätelaitesuojausta yhä enemmän yhtenä kerroksena monien joukossa eikä itsenäisenä ratkaisuna.

Jos organisaatiosi hallinnoi etätyövoimaa, nyt on hyvä aika tarkastaa paitsi FortiClient EMS -käyttöönotto, myös laajempi kerroksellisen tietoturvan strategiasi. Aukkojen tunnistaminen ennen kuin seuraava kampanja hyödyntää niitä on paljon parempi asema kuin reagoiminen sen jälkeen, kun valtuustiedot on jo varastettu.