CVE-2026-35616: FortiClient EMS iskorišten putem lažnih zakrpa za isporuku EKZ Infostealer-a

CVE-2026-35616: FortiClient EMS iskorišten putem lažnih zakrpa za isporuku EKZ Infostealer-a

Kritična ranjivost u Fortinetovom FortiClient Endpoint Management Serveru sada se aktivno iskorištava u divljini. Označena kao CVE-2026-35616, ranjivost se koristi za isporuku EKZ Infostealer malware-a putem posebno obmanjujuće metode: lažnom softverskom zakrpom. Kampanja krađe vjerodajnica putem ranjivosti FortiClient EMS-a cilja organizacije koje se oslanjaju na centralizirano upravljanje krajnjim točkama, pretvarajući vlastitu sigurnosnu infrastrukturu u napadački vektor.

Za IT i sigurnosne timove koji upravljaju raspršenim ili udaljenim radnim snagama, ovo nije apstraktna prijetnja. Lanac napada osmišljen je tako da izgleda legitimno, što ga čini posebno opasnim.

Kako se CVE-2026-35616 iskorištava u divljini

CVE-2026-35616 nosi CVSS ocjenu 9,1 i omogućuje zaobilaženje autentifikacije prije prijave te eskalaciju privilegija unutar FortiClient EMS-a. U praksi, napadači mogu pristupiti upravljačkom poslužitelju bez valjanih vjerodajnica i izvršavati naredbe s povišenim razinama ovlasti.

Ono što ovu kampanju razlikuje od uobičajenog pokušaja iskorištavanja jest sloj socijalnog inženjeringa koji ju omotava. Zlonamjerni akteri dostavljaju lažnu zakrpu prerušenu u legitimno ažuriranje za pogođeni softver. Kada administrator ili upravljana krajnja točka obradi ovu lažnu zakrpu, ona u pozadini tiho izvršava zlonamjerne PowerShell naredbe. Žrtva vidi nešto što izgleda kao normalno ažuriranje; napadač dobiva uporište.

Fortinet je izdao hitne zakrpe u travnju nakon što je potvrdio da je ranjivost iskorištena kao zero-day ranjivost, što znači da su napadi bili u tijeku prije nego što je popravak bio dostupan. Organizacije koje nisu primijenile te hitne zakrpe ostaju izložene, ali čak i zakrpana okruženja mogu biti u riziku ako je mamac s lažnom zakrpom već dostavljen prije sanacije.

Što EKZ Infostealer krade i tko je u opasnosti

Nakon što se zlonamjerne PowerShell naredbe izvrše, EKZ Infostealer se postavlja na kompromitiranu krajnju točku. Njegov primarni cilj je prikupljanje vjerodajnica. Malware posebno cilja vjerodajnice pohranjene u preglednicima, uključujući spremljena korisnička imena i lozinke u uobičajeno korištenim preglednicima, zajedno s drugim osjetljivim podacima dostupnima na upravljanom stroju.

Budući da je FortiClient EMS osmišljen za upravljanje krajnjim točkama u cijeloj organizaciji s jedne konzole, uspješna kompromitacija ne pogađa samo jedan uređaj. Napadači koji dobiju pristup putem EMS poslužitelja potencijalno mogu dosegnuti sve krajnje točke pod njegovim upravljačkim kišobranom. To čini radijus eksplozije pojedinačnog događaja iskorištavanja znatno većim nego kod kompromitacije samostalnog uređaja.

Organizacije koje su najizravnije ugrožene su one koje koriste FortiClient EMS za upravljanje udaljenim ili hibridnim radnim snagama, gdje su krajnje točke raspoređene po kućnim mrežama, podružnicama i drugim okruženjima izvan tradicionalnog korporativnog perimetra. Udaljeni radnici često iz praktičnosti pohranjuju vjerodajnice u preglednicima, što te krajnje točke čini visokovrijednim metama za infostealere.

Zašto alati za sigurnost krajnjih točaka nisu dovoljni sami po sebi za udaljene timove

U ovoj kampanji postoji bolna ironija. Sam FortiClient je proizvod za sigurnost krajnjih točaka, a njegov upravljački poslužitelj sada se koristi kao mehanizam za isporuku malware-a. To naglašava šire načelo koje sigurnosni timovi često prihvaćaju u teoriji, ali ga teško operacionaliziraju u praksi: niti jedan sigurnosni alat nije dovoljan sam po sebi.

Platforme za sigurnost krajnjih točaka vrijedne su komponente obrambene strategije, ali one su također softver, a softver ima ranjivosti. Kada je centralizirani alat za upravljanje kompromitiran, on može neutralizirati zaštite koje je trebao provoditi. Napadači to razumiju, zbog čega su upravljačka sučelja i sigurnosna infrastruktura postali visokoprioritetne mete.

Posebno za udaljene timove, napadačka površina proteže se daleko izvan upravljanog uređaja. Mrežni promet, prijenos vjerodajnica i tokovi autentifikacije prolaze kroz okruženja koja organizacija ne kontrolira u potpunosti. Slojevite kontrole, uključujući zaštite na mrežnoj razini, politike pristupa s nultim povjerenjem i snažne prakse higijene vjerodajnica, nužne su nadopune alatima za sigurnost krajnjih točaka, a ne izborni dodaci.

Način isporuke putem lažne zakrpe korišten u ovoj kampanji također ističe kako se sam postupak ažuriranja može iskoristiti. Ako su zaposlenici ili administratori naviknuti instalirati zakrpe na zahtjev, napadači mogu oružati to ponašanje. Provjera autentičnosti zakrpa putem službenih kanala dobavljača prije instalacije ključan je korak koji ova kampanja upravo pokušava zaobići.

Kako ojačati svoju organizaciju protiv napada lažnim zakrpama i infostealerima

Za organizacije koje koriste FortiClient EMS, trenutni prioritet je primjena Fortinetovih službenih hitnih zakrpa isključivo putem provjerenih kanala za ažuriranje. Nemojte se oslanjati na upite ili poveznice dostavljene e-poštom, chatom ili nepoznatim sučeljima.

Osim trenutne zakrpe, evo konkretnih koraka koje vrijedi dati prioritet:

• Provedite reviziju upravljanih krajnjih točaka radi znakova kompromitacije. Potražite neočekivane događaje izvršavanja PowerShell-a, neuobičajene odlazne veze ili dokaze aktivnosti prikupljanja vjerodajnica u spremištima podataka preglednika.
• Ograničite pristup upravljačkom poslužitelju. FortiClient EMS ne bi trebao biti izložen javnom internetu bez strogih kontrola pristupa. Ograničite tko i odakle može pristupiti upravljačkom sučelju.
• Nametnite višefaktorsku autentifikaciju na svim točkama udaljenog pristupa. Ukradene vjerodajnice iz preglednika najopasnije su kada pružaju izravan pristup korporacijskim sustavima. MFA prekida taj lanac.
• Educirajte administratore o taktikama lažnih zakrpa. Napadi socijalnog inženjeringa usmjereni na IT osoblje sve su češći. Timovi koji razumiju tu taktiku manje su skloni nasjesti na nju.
• Procijenite kontrole na mrežnoj razini za udaljene krajnje točke. Alati koji šifriraju i autentificiraju promet s udaljenih uređaja dodaju sloj zaštite koji nadopunjuje sigurnost krajnjih točaka, posebno kada je sam alat za sigurnost krajnje točke kompromitiran.

Kampanja CVE-2026-35616 podsjetnik je da je razumijevanje razlike između zakrpane ranjivosti i potpuno ublažene prijetnje važno. Čak i nakon što su hitne zakrpe primijenjene, organizacije moraju istražiti je li mamac s lažnom zakrpom možda već izvršen u njihovom okruženju. Vrijeme primjene zakrpe i komplementarne kontrole dio su jednadžbe, što je upravo razlog zašto sigurnosni okviri sve više tretiraju zaštitu krajnjih točaka kao jedan sloj među mnogima, a ne kao samostalno rješenje.

Ako vaša organizacija upravlja udaljenom radnom snagom, sada je dobar trenutak za reviziju ne samo implementacije FortiClient EMS-a, već i vaše šire strategije slojevite sigurnosti. Identificiranje praznina prije nego što ih sljedeća kampanja iskoristi daleko je bolji položaj od odgovora nakon što su vjerodajnice već ukradene.