CVE-2026-35616: FortiClient EMS misbruikt via nep-patches om EKZ Infostealer te droppen

CVE-2026-35616: FortiClient EMS misbruikt via nep-patches om EKZ Infostealer te droppen

Een kritieke kwetsbaarheid in Fortinet's FortiClient Endpoint Management Server wordt nu actief uitgebuit in het wild. Bijgehouden als CVE-2026-35616, wordt het lek door aanvallers gebruikt om de EKZ Infostealer-malware te verspreiden via een bijzonder misleidende methode: een nep-softwarepatch. De campagne voor het stelen van inloggegevens via de FortiClient EMS-kwetsbaarheid richt zich op organisaties die vertrouwen op gecentraliseerd endpointbeheer, en verandert hun eigen beveiligingsinfrastructuur in een aanvalsvector.

Voor IT- en beveiligingsteams die gedistribueerde of externe werkplekken beheren, is dit geen abstracte dreiging. De aanvalsketen is ontworpen om legitiem te lijken, en dat maakt hem juist zo gevaarlijk.

Hoe CVE-2026-35616 in de praktijk wordt uitgebuit

CVE-2026-35616 heeft een CVSS-score van 9.1 en maakt pre-authenticatie bypass en privilege-escalatie binnen FortiClient EMS mogelijk. In de praktijk kunnen aanvallers zonder geldige inloggegevens toegang krijgen tot de beheerserver en opdrachten uitvoeren met verhoogde rechten.

Wat deze campagne onderscheidt van een typisch uitbuitingspoging, is de social engineering-laag eromheen. Aanvallers leveren een nep-patch die vermomd is als een legitieme update voor de getroffen software. Wanneer een beheerder of beheerd eindpunt deze frauduleuze patch verwerkt, worden op de achtergrond stilletjes schadelijke PowerShell-commando's uitgevoerd. Het slachtoffer ziet wat een normale update lijkt te zijn; de aanvaller krijgt vaste voet aan de grond.

Fortinet bracht in april hotfixes uit, nadat was bevestigd dat de kwetsbaarheid werd uitgebuit als een zero-day-kwetsbaarheid, wat betekent dat de aanvallen al liepen voordat er een fix beschikbaar was. Organisaties die deze hotfixes niet hebben toegepast, blijven kwetsbaar, maar zelfs omgevingen die wel gepatcht zijn, lopen mogelijk risico als de nep-patch-lokker al vóór de herstelwerkzaamheden is bezorgd.

Wat de EKZ Infostealer steelt en wie er risico loopt

Zodra de schadelijke PowerShell-commando's zijn uitgevoerd, wordt de EKZ Infostealer op het gecompromitteerde eindpunt geïmplementeerd. Het hoofddoel is het verzamelen van inloggegevens. De malware richt zich specifiek op in de browser opgeslagen inloggegevens, waaronder opgeslagen gebruikersnamen en wachtwoorden in veelgebruikte browsers, samen met andere gevoelige gegevens die op de beheerde machine toegankelijk zijn.

Omdat FortiClient EMS is ontworpen om endpoints in een hele organisatie vanuit één console te beheren, treft een succesvolle compromittering niet slechts één machine. Aanvallers die via de EMS-server toegang krijgen, kunnen mogelijk alle endpoints onder zijn beheerparaplu bereiken. Dit maakt de schadeomvang van één enkele uitbuitingsgebeurtenis aanzienlijk groter dan bij een compromittering van een op zichzelf staand apparaat.

De organisaties die het meeste risico lopen, zijn die welke FortiClient EMS gebruiken om externe of hybride werkplekken te beheren, waar endpoints verspreid zijn over thuisnetwerken, filialen en andere omgevingen buiten de traditionele bedrijfsperimeter. Thuiswerkers slaan inloggegevens uit gemak vaak op in browsers, waardoor die endpoints hoogwaardige doelwitten worden voor infostealers.

Waarom endpointbeveiligingstools alleen niet voldoende zijn voor teams op afstand

Er zit een pijnlijke ironie in deze campagne. FortiClient zelf is een endpointbeveiligingsproduct, en de beheerserver ervan wordt nu gebruikt als bezorgmechanisme voor malware. Dit onderstreept een breder principe dat beveiligingsteams in theorie vaak erkennen, maar in de praktijk moeilijk operationeel kunnen maken: geen enkel beveiligingstool is op zichzelf voldoende.

Endpointbeveiligingsplatforms zijn waardevolle onderdelen van een verdedigingsstrategie, maar het zijn ook software, en software heeft kwetsbaarheden. Wanneer een gecentraliseerd beheersysteem wordt gecompromitteerd, kan het de bescherming neutraliseren die het moest handhaven. Aanvallers begrijpen dit, en daarom zijn beheerinterfaces en beveiligingsinfrastructuur belangrijke doelwitten geworden.

Met name voor teams op afstand reikt het aanvalsoppervlak veel verder dan het beheerde apparaat. Netwerkverkeer, overdracht van inloggegevens en authenticatieverlopen vinden allemaal plaats in omgevingen die de organisatie niet volledig onder controle heeft. Gelaagde beheersmaatregelen, waaronder bescherming op netwerkniveau, zero-trust-toegangsbeleid en sterke credential-hygiëne, zijn noodzakelijke aanvullingen op endpointbeveiligingstools, geen optionele extra's.

De bezorgmethode met de nep-patch die in deze campagne wordt gebruikt, benadrukt ook hoe het updateproces zelf kan worden uitgebuit. Als werknemers of beheerders gewend zijn geraakt om patches op commando te installeren, kunnen aanvallers dat gedrag bewapenen. De authenticiteit van patches verifiëren via officiële leverancierskanalen vóór installatie is een cruciale stap die deze campagne specifiek probeert te omzeilen.

Hoe uw organisatie zich kan verdedigen tegen nep-patch- en infostealer-aanvallen

Voor organisaties die FortiClient EMS draaien, is de onmiddellijke prioriteit het uitsluitend toepassen van de officiële hotfixes van Fortinet via geverifieerde updatekanalen. Vertrouw niet op prompts of links die via e-mail, chat of onbekende interfaces worden aangeleverd.

Naast de directe patch zijn hier concrete stappen die het overwegen waard zijn:

• Controleer beheerde endpoints op tekenen van compromittering. Let op onverwachte PowerShell-uitvoeringsgebeurtenissen, ongebruikelijke uitgaande verbindingen of bewijs van credential-scraping-activiteit in browsergegevensopslag.
• Beperk de toegang tot de beheerserver. FortiClient EMS mag niet zonder strikte toegangscontroles aan het openbare internet worden blootgesteld. Beperk wie de beheerinterface kan bereiken en vanwaar.
• Handhaaf multi-factor authenticatie op alle externe toegangspunten. Gestolen browserreferenties zijn het gevaarlijkst wanneer ze directe toegang tot bedrijfssystemen bieden. MFA doorbreekt die keten.
• Maak beheerders bewust van nep-patchtactieken. Social engineering-aanvallen gericht op IT-personeel komen steeds vaker voor. Teams die de tactiek begrijpen, trappen er minder snel in.
• Evalueer beheersmaatregelen op netwerkniveau voor externe endpoints. Hulpmiddelen die verkeer van externe apparaten versleutelen en authenticeren, voegen een beschermingslaag toe die endpointbeveiliging aanvult, vooral wanneer een endpointbeveiligingstool zelf is gecompromitteerd.

De CVE-2026-35616-campagne herinnert ons eraan dat het verschil begrijpen tussen een gepatchte kwetsbaarheid en een volledig gemitigeerde dreiging van belang is. Zelfs nadat hotfixes zijn toegepast, moeten organisaties onderzoeken of de nep-patch-lokker mogelijk al in hun omgeving is uitgevoerd. Patchtiming en aanvullende beheersmaatregelen maken beide deel uit van de vergelijking, en dat is precies waarom beveiligingsraamwerken endpointbescherming steeds meer als één laag van vele beschouwen in plaats van als een op zichzelf staande oplossing.

Als uw organisatie een externe beroepsbevolking beheert, is dit een goed moment om niet alleen uw FortiClient EMS-implementatie te auditen, maar ook uw bredere gelaagde beveiligingsstrategie. Gaten identificeren voordat de volgende campagne ze uitbuit, is een veel betere positie dan reageren nadat inloggegevens al zijn gestolen.