CVE-2026-35616: FortiClient EMS sfruttato tramite patch false per diffondere l'infostealer EKZ

CVE-2026-35616: FortiClient EMS sfruttato tramite patch false per diffondere l'infostealer EKZ

Una vulnerabilità critica in FortiClient Endpoint Management Server di Fortinet è attualmente sfruttata attivamente in ambienti reali. Tracciata come CVE-2026-35616, la falla viene utilizzata da attori malevoli per distribuire il malware EKZ Infostealer attraverso un metodo particolarmente ingannevole: una falsa patch software. La campagna di furto di credenziali tramite la vulnerabilità di FortiClient EMS prende di mira le organizzazioni che si affidano alla gestione centralizzata degli endpoint, trasformando la propria infrastruttura di sicurezza in un vettore d'attacco.

Per i team IT e di sicurezza che gestiscono forza lavoro distribuita o remota, non si tratta di una minaccia astratta. La catena d'attacco è progettata per apparire legittima, ed è proprio questo a renderla particolarmente pericolosa.

Come CVE-2026-35616 viene sfruttata in ambienti reali

CVE-2026-35616 ha un punteggio CVSS di 9.1 e consente un bypass dell'autenticazione e un'escalation dei privilegi all'interno di FortiClient EMS. In termini pratici, gli aggressori possono accedere al server di gestione senza credenziali valide ed eseguire comandi con livelli di privilegio elevati.

Ciò che distingue questa campagna da un tipico tentativo di sfruttamento è il livello di ingegneria sociale che la avvolge. Gli attori malevoli distribuiscono una falsa patch camuffata da aggiornamento legittimo per il software interessato. Quando un amministratore o un endpoint gestito elabora questa patch fraudolenta, esegue silenziosamente comandi PowerShell dannosi in background. La vittima vede quello che sembra un normale aggiornamento; l'aggressore ottiene un punto d'appoggio.

Fortinet ha rilasciato hotfix ad aprile dopo aver confermato che la vulnerabilità era stata sfruttata come vulnerabilità zero-day, il che significa che gli attacchi erano in corso prima che fosse disponibile una correzione. Le organizzazioni che non hanno applicato tali hotfix restano esposte, ma anche gli ambienti già aggiornati potrebbero essere a rischio se l'esca della falsa patch è stata consegnata prima della correzione.

Cosa ruba l'infostealer EKZ e chi è a rischio

Una volta eseguiti i comandi PowerShell dannosi, l'infostealer EKZ viene distribuito sull'endpoint compromesso. Il suo obiettivo primario è la raccolta di credenziali. Il malware prende di mira specificamente le credenziali archiviate nei browser, inclusi nomi utente e password salvati nei browser più comuni, oltre ad altri dati sensibili accessibili sulla macchina gestita.

Poiché FortiClient EMS è progettato per gestire gli endpoint di un'intera organizzazione da un'unica console, una compromissione riuscita non colpisce una sola macchina. Gli aggressori che ottengono accesso attraverso il server EMS possono potenzialmente raggiungere tutti gli endpoint sotto il suo ombrello di gestione. Ciò rende il raggio d'azione di un singolo evento di sfruttamento significativamente più ampio rispetto alla compromissione di un dispositivo isolato.

Le organizzazioni più direttamente a rischio sono quelle che utilizzano FortiClient EMS per gestire forza lavoro remota o ibrida, in cui gli endpoint sono distribuiti tra reti domestiche, filiali e altri ambienti al di fuori del perimetro aziendale tradizionale. I lavoratori remoti spesso archiviano le credenziali nei browser per comodità, rendendo quegli endpoint bersagli di alto valore per gli infostealer.

Perché i soli strumenti di sicurezza degli endpoint non bastano per i team remoti

C'è un'amara ironia in questa campagna. FortiClient stesso è un prodotto per la sicurezza degli endpoint, e il suo server di gestione viene ora utilizzato come meccanismo di distribuzione per il malware. Ciò sottolinea un principio più ampio che i team di sicurezza spesso riconoscono in teoria ma faticano a mettere in pratica: nessuno strumento di sicurezza è sufficiente da solo.

Le piattaforme di sicurezza degli endpoint sono componenti preziosi di una strategia di difesa, ma sono pur sempre software, e il software ha vulnerabilità. Quando uno strumento di gestione centralizzato viene compromesso, può neutralizzare le protezioni che doveva applicare. Gli aggressori lo sanno bene, ed è per questo che le interfacce di gestione e l'infrastruttura di sicurezza sono diventate bersagli ad alta priorità.

In particolare per i team remoti, la superficie d'attacco si estende ben oltre il dispositivo gestito. Il traffico di rete, la trasmissione delle credenziali e i flussi di autenticazione passano tutti attraverso ambienti che l'organizzazione non controlla completamente. Controlli stratificati, incluse protezioni a livello di rete, politiche di accesso zero-trust e solide prassi di igiene delle credenziali, sono complementi necessari agli strumenti di sicurezza degli endpoint, non optional.

Il metodo di distribuzione tramite falsa patch utilizzato in questa campagna evidenzia anche come il processo di aggiornamento stesso possa essere sfruttato. Se i dipendenti o gli amministratori sono abituati a installare patch su richiesta, gli aggressori possono trasformare questo comportamento in un'arma. Verificare l'autenticità delle patch attraverso i canali ufficiali del fornitore prima dell'installazione è un passaggio cruciale che questa campagna cerca specificamente di eludere.

Come rafforzare la propria organizzazione contro attacchi con patch false e infostealer

Per le organizzazioni che utilizzano FortiClient EMS, la priorità immediata è applicare gli hotfix ufficiali di Fortinet esclusivamente attraverso canali di aggiornamento verificati. Non affidatevi a richieste o link ricevuti via email, chat o interfacce non familiari.

Oltre alla patch immediata, ecco alcuni passi concreti che vale la pena considerare con priorità:

• Verificare la presenza di segni di compromissione sugli endpoint gestiti. Cercare eventi di esecuzione PowerShell imprevisti, connessioni in uscita anomale o tracce di attività di scraping delle credenziali negli archivi dati dei browser.
• Limitare l'accesso al server di gestione. FortiClient EMS non dovrebbe essere esposto a Internet senza rigorosi controlli di accesso. Limitare chi può raggiungere l'interfaccia di gestione e da dove.
• Applicare l'autenticazione multi-fattore su tutti i punti di accesso remoto. Le credenziali rubate dai browser sono più pericolose quando forniscono accesso diretto ai sistemi aziendali. L'MFA spezza questa catena.
• Istruire gli amministratori sulle tattiche di falsa patch. Gli attacchi di ingegneria sociale rivolti al personale IT sono sempre più comuni. I team che conoscono la tattica hanno meno probabilità di caderne vittima.
• Valutare i controlli a livello di rete per gli endpoint remoti. Gli strumenti che cifrano e autenticano il traffico dai dispositivi remoti aggiungono un livello di protezione che integra la sicurezza degli endpoint, in particolare quando uno strumento di sicurezza endpoint stesso è compromesso.

La campagna CVE-2026-35616 ricorda quanto sia importante comprendere la differenza tra una vulnerabilità corretta e una minaccia completamente mitigata. Anche dopo l'applicazione degli hotfix, le organizzazioni devono indagare se l'esca della falsa patch possa essere già stata eseguita nel proprio ambiente. I tempi di applicazione delle patch e i controlli complementari sono entrambi parte dell'equazione, ed è proprio per questo che i framework di sicurezza trattano sempre più la protezione degli endpoint come uno strato tra molti, anziché come una soluzione a sé stante.

Se la vostra organizzazione gestisce una forza lavoro remota, questo è un buon momento per verificare non solo la distribuzione di FortiClient EMS, ma l'intera strategia di sicurezza stratificata. Identificare le lacune prima che la prossima campagna le sfrutti è una posizione di gran lunga migliore rispetto a reagire dopo che le credenziali sono già state rubate.