CVE-2026-35616: FortiClient EMS utnyttet via falske oppdateringer for å spre EKZ Infostealer

CVE-2026-35616: FortiClient EMS utnyttet via falske oppdateringer for å spre EKZ Infostealer

En kritisk sårbarhet i Fortinets FortiClient Endpoint Management Server blir nå aktivt utnyttet i naturen. Sporet som CVE-2026-35616, brukes feilen av trusselaktører til å distribuere EKZ Infostealer-skadevaren gjennom en spesielt villedende metode: en falsk programvareoppdatering. Kampanjen for stjeling av legitimasjon via FortiClient EMS-sårbarheten retter seg mot organisasjoner som er avhengige av sentralisert endepunktsadministrasjon, og gjør deres egen sikkerhetsinfrastruktur til en angrepsvektor.

For IT- og sikkerhetsteam som administrerer distribuerte eller eksterne arbeidsstyrker, er dette ikke en abstrakt trussel. Angrepskjeden er utformet for å se legitim ut, noe som gjør den spesielt farlig.

Hvordan CVE-2026-35616 blir utnyttet i naturen

CVE-2026-35616 har en CVSS-score på 9,1 og muliggjør omgåelse av forhåndsautentisering og rettighetseskalering i FortiClient EMS. I praksis kan angripere få tilgang til administrasjonsserveren uten gyldig legitimasjon og kjøre kommandoer med forhøyede rettigheter.

Det som skiller denne kampanjen fra et typisk utnyttelsesforsøk, er det sosiale ingeniørlaget rundt den. Trusselaktører leverer en falsk oppdatering forkledd som en legitim oppdatering for den berørte programvaren. Når en administrator eller et administrert endepunkt behandler denne falske oppdateringen, kjører den skjulte ondsinnede PowerShell-kommandoer i bakgrunnen. Offeret ser det som ser ut som en normal oppdatering; angriperen får fotfeste.

Fortinet utstedte hurtigreparasjoner i april etter å ha bekreftet at sårbarheten ble utnyttet som et nulldagssårbarhet, noe som betyr at angrepene var i gang før en fiks var tilgjengelig. Organisasjoner som ikke har brukt disse hurtigreparasjonene, forblir eksponert, men selv patchede miljøer kan være i fare hvis den falske oppdateringslokkingen allerede ble levert før utbedringen.

Hva EKZ Infostealer stjeler og hvem som er i fare

Når de ondsinnede PowerShell-kommandoene kjøres, distribueres EKZ Infostealer på det kompromitterte endepunktet. Hovedmålet er innhøsting av legitimasjon. Skadevaren retter seg spesifikt mot nettleserlagret legitimasjon, inkludert lagrede brukernavn og passord på tvers av vanlige nettlesere, sammen med andre sensitive data tilgjengelige på den administrerte maskinen.

Fordi FortiClient EMS er designet for å administrere endepunkter over hele organisasjonen fra en enkelt konsoll, påvirker et vellykket kompromiss ikke bare én maskin. Angripere som får tilgang via EMS-serveren kan potensielt nå alle endepunkter under dens administrasjonsparaply. Dette gjør at eksplosjonsradiusen for en enkelt utnyttelseshendelse er betydelig større enn ved et frittstående enhetskompromiss.

Organisasjonene som er mest direkte i fare, er de som bruker FortiClient EMS til å administrere eksterne eller hybride arbeidsstyrker, der endepunktene er spredt over hjemmenettverk, avdelingskontorer og andre miljøer utenfor den tradisjonelle bedriftsperimeteren. Eksternarbeidere lagrer ofte legitimasjon i nettlesere for enkelhets skyld, noe som gjør disse endepunktene til høyverdige mål for infostealere.

Hvorfor endepunktsikkerhetsverktøy alene ikke er nok for eksterne team

Det ligger en smertefull ironi i denne kampanjen. FortiClient selv er et endepunktsikkerhetsprodukt, og administrasjonsserveren blir nå brukt som en leveringsmekanisme for skadevare. Dette understreker et bredere prinsipp som sikkerhetsteam ofte anerkjenner i teorien, men sliter med å operasjonalisere i praksis: ingen enkelt sikkerhetsverktøy er tilstrekkelig alene.

Endepunktsikkerhetsplattformer er verdifulle komponenter i en forsvarsstrategi, men de er også programvare, og programvare har sårbarheter. Når et sentralisert administrasjonsverktøy blir kompromittert, kan det nøytralisere beskyttelsen det var ment å håndheve. Angripere forstår dette, og det er grunnen til at administrasjonsgrensesnitt og sikkerhetsinfrastruktur har blitt høyprioriterte mål.

Spesielt for eksterne team strekker angrepsflaten seg langt utover den administrerte enheten. Nettverkstrafikk, overføring av legitimasjon og autentiseringsflyt går alle gjennom miljøer som organisasjonen ikke fullt ut kontrollerer. Lagdelte kontroller, inkludert nettverksnivåbeskyttelse, nulltillits-tilgangspolicyer og god legitimasjonshygiene, er nødvendige komplement til endepunktsikkerhetsverktøy, ikke valgfrie tillegg.

Den falske oppdateringsleveringsmetoden som brukes i denne kampanjen, fremhever også hvordan selve oppdateringsprosessen kan utnyttes. Hvis ansatte eller administratorer er vant til å installere oppdateringer på forespørsel, kan angripere våpenliggjøre denne atferden. Å verifisere ektheten til oppdateringer gjennom offisielle leverandørkanaler før installasjon er et kritisk trinn som denne kampanjen spesifikt forsøker å omgå.

Hvordan herde organisasjonen din mot falske oppdateringer og infostealer-angrep

For organisasjoner som kjører FortiClient EMS, er den umiddelbare prioriteten å bruke Fortinets offisielle hurtigreparasjoner kun gjennom verifiserte oppdateringskanaler. Stol ikke på forespørsler eller lenker levert via e-post, chat eller ukjente grensesnitt.

Utover den umiddelbare oppdateringen, her er konkrete trinn verdt å prioritere:

• Revidere administrerte endepunkter for tegn på kompromittering. Se etter uventede PowerShell-kjøringer, uvanlige utgående tilkoblinger eller bevis på legitimasjonsskraping i nettleserdatalagre.
• Begrense tilgang til administrasjonsserveren. FortiClient EMS bør ikke eksponeres mot det offentlige internett uten strenge tilgangskontroller. Begrens hvem som kan nå administrasjonsgrensesnittet og hvorfra.
• Håndhev flerfaktorautentisering på tvers av alle eksterne tilgangspunkter. Stjålet nettleserlegitimasjon er farligst når den gir direkte tilgang til bedriftssystemer. MFA bryter den kjeden.
• Utdanne administratorer om falske oppdateringstaktikker. Sosialingeniørangrep rettet mot IT-ansatte blir stadig vanligere. Team som forstår taktikken, har mindre sannsynlighet for å falle for den.
• Evaluer nettverksnivåkontroller for eksterne endepunkter. Verktøy som krypterer og autentiserer trafikk fra eksterne enheter, legger til et beskyttelseslag som komplementerer endepunktsikkerhet, spesielt når et endepunktsikkerhetsverktøy selv er kompromittert.

CVE-2026-35616-kampanjen er en påminnelse om at det å forstå forskjellen mellom en patchet sårbarhet og en fullstendig avbøtet trussel er viktig. Selv etter at hurtigreparasjoner er brukt, må organisasjoner undersøke om den falske oppdateringslokkingen allerede kan ha blitt utført i deres miljø. Tidspunkt for oppdatering og komplementære kontroller er begge del av ligningen, og det er nettopp derfor sikkerhetsrammeverk i økende grad behandler endepunktsbeskyttelse som ett lag blant mange, snarere enn en frittstående løsning.

Hvis organisasjonen din administrerer en ekstern arbeidsstyrke, er nå et godt tidspunkt å revidere ikke bare din FortiClient EMS-distribusjon, men din bredere lagdelte sikkerhetsstrategi. Å identifisere hull før den neste kampanjen utnytter dem, er en langt bedre posisjon enn å reagere etter at legitimasjon allerede er stjålet.