CVE-2026-35616: FortiClient EMS kihasználása hamis javításokon keresztül az EKZ Infostealer terjesztésére

CVE-2026-35616: FortiClient EMS kihasználása hamis javításokon keresztül az EKZ Infostealer terjesztésére

A Fortinet FortiClient Endpoint Management Server kritikus sérülékenységét jelenleg is aktívan kihasználják a vadonban. A CVE-2026-35616 néven nyomon követett hibát a támadók az EKZ Infostealer kártevő terjesztésére használják, egy különösen megtévesztő módszerrel: hamis szoftverjavításon keresztül. A FortiClient EMS sérülékenységét kihasználó hitelesítőadat-lopási kampány azokat a szervezeteket veszi célba, amelyek központosított végpontkezelésre támaszkodnak, saját biztonsági infrastruktúrájukat támadási vektorrá alakítva.

Az elosztott vagy távoli munkaerőt kezelő IT- és biztonsági csapatok számára ez nem elvont fenyegetés. A támadási lánc úgy lett kialakítva, hogy legitimnek tűnjön, és éppen ez teszi különösen veszélyessé.

Hogyan használják ki a CVE-2026-35616-ot a vadonban

A CVE-2026-35616 CVSS-értéke 9.1, és lehetővé teszi a hitelesítés előtti megkerülést, valamint a jogosultság-kiterjesztést a FortiClient EMS-en belül. Gyakorlati értelemben a támadók érvényes hitelesítő adatok nélkül hozzáférhetnek a felügyeleti szerverhez, és emelt szintű jogosultságokkal hajthatnak végre parancsokat.

Ami megkülönbözteti ezt a kampányt egy tipikus kihasználási kísérlettől, az a köré épített social engineering réteg. A támadók hamis javítást juttatnak el, amely az érintett szoftver legitim frissítésének álcázza magát. Amikor egy rendszergazda vagy felügyelt végpont feldolgozza ezt a csalárd javítást, az a háttérben csendben rosszindulatú PowerShell-parancsokat hajt végre. Az áldozat egy normál frissítést lát; a támadó megveti a lábát.

A Fortinet áprilisban adott ki gyorsjavításokat, miután megerősítette, hogy a sérülékenységet zero-day sérülékenységként használták ki, ami azt jelenti, hogy a támadások már a javítás elérhetővé válása előtt elkezdődtek. Azok a szervezetek, amelyek nem alkalmazták ezeket a gyorsjavításokat, továbbra is kitettek maradnak, de még a javított környezetek is veszélyben lehetnek, ha a hamis javítás csaliját már a helyreállítás előtt kézbesítették.

Mit lop el az EKZ Infostealer, és ki van veszélyben

Amint a rosszindulatú PowerShell-parancsok végrehajtódnak, az EKZ Infostealer települ a kompromittált végpontra. Elsődleges célja a hitelesítő adatok begyűjtése. A kártevő kifejezetten a böngészőben tárolt hitelesítő adatokat célozza, beleértve a gyakran használt böngészőkben mentett felhasználóneveket és jelszavakat, valamint a felügyelt gépen elérhető egyéb érzékeny adatokat.

Mivel a FortiClient EMS-t arra tervezték, hogy egyetlen konzolról kezelje a szervezet végpontjait, egy sikeres kompromittálódás nem csupán egyetlen gépet érint. Azok a támadók, akik az EMS-szerveren keresztül hozzáférést szereznek, potenciálisan elérhetik a felügyelete alá tartozó összes végpontot. Ez egyetlen kihasználási esemény robbanási sugarát jelentősen nagyobbá teszi, mint egy önálló eszköz kompromittálódása esetén.

A legközvetlenebbül veszélyeztetett szervezetek azok, amelyek FortiClient EMS-t használnak távoli vagy hibrid munkaerő kezelésére, ahol a végpontok otthoni hálózatokon, fiókirodákban és a hagyományos vállalati peremhálózaton kívüli egyéb környezetekben vannak elosztva. A távoli munkavállalók kényelmi okokból gyakran tárolnak hitelesítő adatokat a böngészőkben, ami ezeket a végpontokat az információlopók számára nagy értékű célpontokká teszi.

Miért nem elegendőek önmagukban a végpontbiztonsági eszközök a távoli csapatok számára

Fájdalmas irónia rejlik ebben a kampányban. Maga a FortiClient egy végpontbiztonsági termék, és annak felügyeleti szerverét most kártevő terjesztési mechanizmusként használják. Ez aláhúz egy olyan szélesebb körű alapelvet, amelyet a biztonsági csapatok elméletben gyakran elismernek, de a gyakorlatban nehezen tudnak működőképessé tenni: egyetlen biztonsági eszköz önmagában nem elegendő.

A végpontbiztonsági platformok értékes elemei a védelmi stratégiának, de egyben szoftverek is, és a szoftvereknek sérülékenységeik vannak. Amikor egy központosított felügyeleti eszköz kompromittálódik, semlegesítheti azokat a védelmeket, amelyeket érvényesítenie kellett volna. A támadók ezt megértik, ezért váltak a felügyeleti interfészek és a biztonsági infrastruktúra elsődleges célpontokká.

Különösen a távoli csapatok esetében a támadási felület messze túlmutat a felügyelt eszközön. A hálózati forgalom, a hitelesítő adatok átvitele és a hitelesítési folyamatok mind olyan környezeteken haladnak át, amelyeket a szervezet nem teljes mértékben ellenőriz. A többrétegű védelem, beleértve a hálózati szintű védelmeket, a zéró bizalmi hozzáférési szabályzatokat és az erős hitelesítőadat-higiéniai gyakorlatokat, a végpontbiztonsági eszközök szükséges kiegészítői, nem pedig opcionális extrák.

Az ebben a kampányban használt hamis javításos kézbesítési módszer arra is rávilágít, hogy maga a frissítési folyamat hogyan használható ki. Ha az alkalmazottak vagy rendszergazdák hozzá vannak szokva ahhoz, hogy igény szerint telepítsenek javításokat, a támadók ezt a viselkedést fegyverré alakíthatják. A javítások hitelességének ellenőrzése a hivatalos szállítói csatornákon keresztül a telepítés előtt egy olyan kritikus lépés, amelyet ez a kampány kifejezetten megpróbál megkerülni.

Hogyan erősítse meg szervezetét a hamis javítások és információlopók ellen

A FortiClient EMS-t futtató szervezetek számára az azonnali prioritás a Fortinet hivatalos gyorsjavításainak alkalmazása, kizárólag ellenőrzött frissítési csatornákon keresztül. Ne hagyatkozzon e-mailben, chaten vagy ismeretlen felületeken keresztül kézbesített felszólításokra vagy hivatkozásokra.

A közvetlen javításon túl itt vannak azok a konkrét lépések, amelyeket érdemes előtérbe helyezni:

• Ellenőrizze a felügyelt végpontokat kompromittálódás jelei után. Keressen váratlan PowerShell-végrehajtási eseményeket, szokatlan kimenő kapcsolatokat vagy hitelesítőadat-gyűjtési tevékenység bizonyítékait a böngésző adattárolóiban.
• Korlátozza a felügyeleti szerver hozzáférését. A FortiClient EMS-t szigorú hozzáférés-ellenőrzés nélkül nem szabad kitenni a nyilvános internetre. Korlátozza, hogy ki és honnan érheti el a felügyeleti felületet.
• Vezessen be többtényezős hitelesítést minden távoli hozzáférési ponton. A lopott böngészős hitelesítő adatok akkor a legveszélyesebbek, ha közvetlen hozzáférést biztosítanak a vállalati rendszerekhez. Az MFA megszakítja ezt a láncot.
• Oktassa a rendszergazdákat a hamis javítások taktikájáról. Egyre gyakoribbak az informatikai személyzetet célzó social engineering támadások. Azok a csapatok, amelyek megértik a taktikát, kisebb valószínűséggel dőlnek be neki.
• Értékelje a távoli végpontok hálózati szintű védelmét. A távoli eszközök forgalmát titkosító és hitelesítő eszközök egy további védelmi réteget adnak, amely kiegészíti a végpontbiztonságot, különösen akkor, ha maga a végpontbiztonsági eszköz kompromittálódik.

A CVE-2026-35616 kampány emlékeztet arra, hogy számít annak megértése, mi a különbség a javított sérülékenység és a teljes mértékben enyhített fenyegetés között. Még a gyorsjavítások alkalmazása után is meg kell vizsgálniuk a szervezeteknek, hogy a hamis javítás csaliját esetleg már végrehajtották-e a környezetükben. A javítás időzítése és a kiegészítő védelmek egyaránt részei az egyenletnek, és éppen ezért kezelik a biztonsági keretrendszerek a végpontvédelmet egyre inkább egy rétegként a sok közül, nem pedig önálló megoldásként.

Ha szervezete távoli munkaerőt kezel, most jó alkalom arra, hogy ne csak a FortiClient EMS telepítését, hanem szélesebb körű, többrétegű biztonsági stratégiáját is auditálja. A hiányosságok azonosítása, mielőtt a következő kampány kihasználná őket, sokkal jobb pozíció, mint azután reagálni, hogy a hitelesítő adatokat már ellopták.