CVE-2026-35616: FortiClient EMS Dieksploitasi via Patch Palsu untuk Menjatuhkan EKZ Infostealer

CVE-2026-35616: FortiClient EMS Dieksploitasi via Patch Palsu untuk Menjatuhkan EKZ Infostealer

Kerentanan kritis di FortiClient Endpoint Management Server milik Fortinet kini secara aktif dieksploitasi secara liar. Dilacak sebagai CVE-2026-35616, celah ini digunakan oleh pelaku ancaman untuk menyebarkan malware EKZ Infostealer melalui metode yang sangat menipu: patch perangkat lunak palsu. Kampanye pencurian kredensial melalui kerentanan FortiClient EMS ini menyasar organisasi yang mengandalkan manajemen endpoint terpusat, mengubah infrastruktur keamanan mereka sendiri menjadi vektor serangan.

Bagi tim TI dan keamanan yang mengelola tenaga kerja terdistribusi atau jarak jauh, ini bukanlah ancaman abstrak. Rantai serangan dirancang agar tampak sah, dan itulah yang menjadikannya sangat berbahaya.

Bagaimana CVE-2026-35616 Dieksploitasi di Alam Liar

CVE-2026-35616 memiliki skor CVSS 9.1 dan memungkinkan bypass pra-autentikasi serta eskalasi hak istimewa di dalam FortiClient EMS. Secara praktis, penyerang dapat mengakses server manajemen tanpa kredensial yang valid dan menjalankan perintah dengan tingkat hak istimewa yang tinggi.

Apa yang membedakan kampanye ini dari percobaan eksploitasi biasa adalah lapisan rekayasa sosial yang menyelimutinya. Pelaku ancaman mengirimkan patch palsu yang disamarkan sebagai pembaruan sah untuk perangkat lunak yang terpengaruh. Saat seorang administrator atau endpoint yang dikelola memproses patch tiruan ini, ia diam-diam mengeksekusi perintah PowerShell berbahaya di latar belakang. Korban melihat apa yang tampak seperti pembaruan normal; penyerang memperoleh pijakan.

Fortinet merilis hotfix pada bulan April setelah mengonfirmasi bahwa kerentanan telah dieksploitasi sebagai kerentanan zero-day, artinya serangan sudah berlangsung sebelum perbaikan tersedia. Organisasi yang belum menerapkan hotfix tersebut tetap rentan, tetapi lingkungan yang sudah ditambal pun mungkin berisiko jika umpan patch palsu sudah dikirimkan sebelum remediasi.

Apa yang Dicuri oleh EKZ Infostealer dan Siapa yang Berisiko

Setelah perintah PowerShell berbahaya dijalankan, EKZ Infostealer disebarkan di endpoint yang terkompromi. Tujuan utamanya adalah pemanenan kredensial. Malware ini secara khusus menargetkan kredensial yang tersimpan di browser, termasuk nama pengguna dan kata sandi yang disimpan di browser yang umum digunakan, beserta data sensitif lainnya yang dapat diakses di mesin yang dikelola.

Karena FortiClient EMS dirancang untuk mengelola endpoint di seluruh organisasi dari satu konsol, kompromi yang berhasil tidak hanya memengaruhi satu mesin. Penyerang yang mendapatkan akses melalui server EMS berpotensi menjangkau semua endpoint yang berada di bawah payung manajemennya. Hal ini membuat radius dampak dari satu peristiwa eksploitasi jauh lebih besar dibandingkan kompromi perangkat tunggal.

Organisasi yang paling berisiko secara langsung adalah yang menggunakan FortiClient EMS untuk mengelola tenaga kerja jarak jauh atau hibrida, di mana endpoint tersebar di jaringan rumah, kantor cabang, dan lingkungan lain di luar perimeter perusahaan tradisional. Pekerja jarak jauh sering menyimpan kredensial di browser demi kenyamanan, menjadikan endpoint tersebut target bernilai tinggi bagi pencuri informasi.

Mengapa Alat Keamanan Endpoint Saja Tidak Cukup untuk Tim Jarak Jauh

Ada ironi yang menyakitkan dalam kampanye ini. FortiClient sendiri adalah produk keamanan endpoint, dan server manajemennya kini digunakan sebagai mekanisme pengiriman malware. Hal ini menegaskan prinsip yang lebih luas yang sering diakui oleh tim keamanan dalam teori tetapi sulit dioperasionalkan dalam praktik: tidak ada satu pun alat keamanan yang cukup dengan sendirinya.

Platform keamanan endpoint adalah komponen berharga dalam strategi pertahanan, tetapi mereka juga merupakan perangkat lunak, dan perangkat lunak memiliki kerentanan. Ketika alat manajemen terpusat dikompromikan, ia dapat menetralkan perlindungan yang seharusnya ditegakkannya. Penyerang memahami hal ini, itulah sebabnya antarmuka manajemen dan infrastruktur keamanan menjadi target prioritas tinggi.

Untuk tim jarak jauh khususnya, permukaan serangan meluas jauh melampaui perangkat yang dikelola. Lalu lintas jaringan, transmisi kredensial, dan alur autentikasi semuanya melewati lingkungan yang tidak sepenuhnya dikendalikan oleh organisasi. Kontrol berlapis, termasuk perlindungan tingkat jaringan, kebijakan akses zero-trust, dan praktik kebersihan kredensial yang kuat, adalah pelengkap yang diperlukan untuk alat keamanan endpoint, bukan tambahan opsional.

Metode pengiriman patch palsu yang digunakan dalam kampanye ini juga menyoroti bagaimana proses pembaruan itu sendiri dapat dieksploitasi. Jika karyawan atau administrator terbiasa memasang patch sesuai permintaan, penyerang dapat mempersenjatai perilaku tersebut. Memverifikasi keaslian patch melalui saluran resmi vendor sebelum pemasangan adalah langkah penting yang secara khusus coba diakali oleh kampanye ini.

Cara Memperkuat Organisasi Anda Terhadap Serangan Patch Palsu dan Infostealer

Bagi organisasi yang menjalankan FortiClient EMS, prioritas utama adalah menerapkan hotfix resmi Fortinet hanya melalui saluran pembaruan yang terverifikasi. Jangan mengandalkan perintah atau tautan yang dikirim melalui email, obrolan, atau antarmuka yang tidak dikenal.

Di luar patch langsung, berikut adalah langkah konkret yang layak diprioritaskan:

• Audit endpoint yang dikelola untuk mencari tanda-tanda kompromi. Cari peristiwa eksekusi PowerShell yang tidak terduga, koneksi keluar yang tidak biasa, atau bukti aktivitas pengambilan kredensial di penyimpanan data browser.
• Batasi akses server manajemen. FortiClient EMS tidak boleh terpapar ke internet publik tanpa kontrol akses yang ketat. Batasi siapa yang dapat mengakses antarmuka manajemen dan dari mana.
• Terapkan autentikasi multi-faktor di semua titik akses jarak jauh. Kredensial browser yang dicuri paling berbahaya saat memberikan akses langsung ke sistem perusahaan. MFA memutus rantai itu.
• Edukasi administrator tentang taktik patch palsu. Serangan rekayasa sosial yang menyasar staf TI semakin umum. Tim yang memahami taktik tersebut cenderung tidak akan tertipu.
• Evaluasi kontrol tingkat jaringan untuk endpoint jarak jauh. Alat yang mengenkripsi dan mengautentikasi lalu lintas dari perangkat jarak jauh menambah lapisan perlindungan yang melengkapi keamanan endpoint, terutama ketika alat keamanan endpoint itu sendiri terkompromi.

Kampanye CVE-2026-35616 adalah pengingat bahwa memahami perbedaan antara kerentanan yang sudah ditambal dan ancaman yang sepenuhnya dimitigasi itu penting. Bahkan setelah hotfix diterapkan, organisasi perlu menyelidiki apakah umpan patch palsu mungkin sudah dijalankan di lingkungan mereka. Waktu penambalan dan kontrol pelengkap keduanya merupakan bagian dari persamaan, itulah sebabnya kerangka kerja keamanan semakin memperlakukan perlindungan endpoint sebagai satu lapisan di antara banyak lapisan, bukan sebagai solusi mandiri.

Jika organisasi Anda mengelola tenaga kerja jarak jauh, sekarang adalah waktu yang tepat untuk mengaudit tidak hanya penerapan FortiClient EMS Anda, tetapi juga strategi keamanan berlapis yang lebih luas. Mengidentifikasi celah sebelum kampanye berikutnya mengeksploitasinya adalah posisi yang jauh lebih baik daripada merespons setelah kredensial telah dicuri.