CVE-2026-35616: FortiClient EMS wykorzystany przez fałszywe poprawki do dostarczenia złośliwego oprogramowania EKZ Infostealer

CVE-2026-35616: FortiClient EMS wykorzystany przez fałszywe poprawki do dostarczenia złośliwego oprogramowania EKZ Infostealer

Krytyczna luka w zabezpieczeniach serwera FortiClient Endpoint Management Server firmy Fortinet jest obecnie aktywnie wykorzystywana w rzeczywistych atakach. Oznaczona jako CVE-2026-35616, luka jest wykorzystywana przez cyberprzestępców do wdrażania złośliwego oprogramowania EKZ Infostealer za pomocą szczególnie podstępnej metody: fałszywej poprawki oprogramowania. Kampania kradzieży danych uwierzytelniających wykorzystująca lukę w FortiClient EMS jest wymierzona w organizacje, które polegają na scentralizowanym zarządzaniu punktami końcowymi, zamieniając ich własną infrastrukturę bezpieczeństwa w wektor ataku.

Dla zespołów IT i bezpieczeństwa zarządzających rozproszonymi lub pracującymi zdalnie zespołami nie jest to abstrakcyjne zagrożenie. Łańcuch ataku został zaprojektowany tak, aby wyglądał na legalny, co czyni go szczególnie niebezpiecznym.

Jak CVE-2026-35616 jest wykorzystywana w rzeczywistych atakach

CVE-2026-35616 ma wynik CVSS na poziomie 9,1 i umożliwia ominięcie uwierzytelniania przedautoryzacyjnego oraz eskalację uprawnień w FortiClient EMS. W praktyce oznacza to, że atakujący mogą uzyskać dostęp do serwera zarządzania bez prawidłowych danych uwierzytelniających i wykonywać polecenia z podwyższonymi uprawnieniami.

Tym, co odróżnia tę kampanię od typowej próby wykorzystania luki, jest warstwa socjotechniczna, która ją otacza. Cyberprzestępcy dostarczają fałszywą poprawkę podszywającą się pod legalną aktualizację dla podatnego na atak oprogramowania. Gdy administrator lub zarządzany punkt końcowy przetworzy tę fałszywą poprawkę, po cichu wykonuje ona złośliwe polecenia PowerShell w tle. Ofiara widzi coś, co wygląda na normalną aktualizację; atakujący zdobywa przyczółek.

Fortinet wydał poprawki w kwietniu po potwierdzeniu, że luka została wykorzystana jako luka zero-day, co oznacza, że ataki rozpoczęły się, zanim udostępniono poprawkę. Organizacje, które nie zastosowały tych poprawek, pozostają narażone, ale nawet załatane środowiska mogą być zagrożone, jeśli fałszywa poprawka została dostarczona przed przeprowadzeniem remediacji.

Co kradnie EKZ Infostealer i kto jest zagrożony

Po wykonaniu złośliwych poleceń PowerShell, na skompromitowanym punkcie końcowym wdrażany jest EKZ Infostealer. Jego głównym celem jest zbieranie danych uwierzytelniających. Złośliwe oprogramowanie atakuje przede wszystkim dane logowania przechowywane w przeglądarkach, w tym zapisane nazwy użytkownika i hasła w powszechnie używanych przeglądarkach, a także inne wrażliwe dane dostępne na zarządzanym komputerze.

Ponieważ FortiClient EMS został zaprojektowany do zarządzania punktami końcowymi w całej organizacji z jednej konsoli, udana kompromitacja nie dotyczy tylko jednego komputera. Atakujący, którzy uzyskają dostęp przez serwer EMS, mogą potencjalnie dotrzeć do wszystkich punktów końcowych objętych jego zarządzaniem. To sprawia, że promień rażenia pojedynczego udanego ataku jest znacznie większy niż w przypadku samodzielnego urządzenia.

Najbardziej bezpośrednio zagrożone są organizacje wykorzystujące FortiClient EMS do zarządzania zdalnymi lub hybrydowymi zespołami, gdzie punkty końcowe są rozproszone w sieciach domowych, oddziałach i innych środowiskach poza tradycyjnym perymetrem korporacyjnym. Pracownicy zdalni często przechowują dane uwierzytelniające w przeglądarkach dla wygody, co czyni te punkty końcowe wartościowymi celami dla programów kradnących informacje.

Dlaczego same narzędzia do ochrony punktów końcowych nie wystarczają dla zdalnych zespołów

W tej kampanii kryje się bolesna ironia. Sam FortiClient jest produktem do ochrony punktów końcowych, a jego serwer zarządzania jest teraz wykorzystywany jako mechanizm dostarczania złośliwego oprogramowania. To podkreśla szerszą zasadę, którą zespoły bezpieczeństwa często uznają w teorii, ale z trudem wdrażają w praktyce: żadne pojedyncze narzędzie bezpieczeństwa nie jest samo w sobie wystarczające.

Platformy do ochrony punktów końcowych są cennymi elementami strategii obrony, ale są również oprogramowaniem, a oprogramowanie ma luki. Gdy scentralizowane narzędzie do zarządzania zostanie skompromitowane, może zneutralizować ochronę, którą miało egzekwować. Atakujący to rozumieją, dlatego interfejsy zarządzania i infrastruktura bezpieczeństwa stały się celami o wysokim priorytecie.

Szczególnie w przypadku zdalnych zespołów powierzchnia ataku wykracza daleko poza zarządzane urządzenie. Ruch sieciowy, transmisja danych uwierzytelniających i przepływy uwierzytelniania przechodzą przez środowiska, nad którymi organizacja nie ma pełnej kontroli. Kontrole warstwowe, w tym ochrona na poziomie sieci, zasady dostępu zero-trust i silne zasady higieny danych uwierzytelniających, są niezbędnym uzupełnieniem narzędzi ochrony punktów końcowych, a nie opcjonalnym dodatkiem.

Metoda dostarczania fałszywych poprawek zastosowana w tej kampanii pokazuje również, jak proces aktualizacji sam w sobie może zostać wykorzystany. Jeśli pracownicy lub administratorzy są przyzwyczajeni do instalowania poprawek na żądanie, atakujący mogą wykorzystać to zachowanie. Weryfikacja autentyczności poprawek za pośrednictwem oficjalnych kanałów dostawcy przed instalacją jest kluczowym krokiem, który ta kampania konkretnie próbuje ominąć.

Jak wzmocnić organizację przed atakami z wykorzystaniem fałszywych poprawek i programów kradnących informacje

Dla organizacji korzystających z FortiClient EMS natychmiastowym priorytetem jest zastosowanie oficjalnych poprawek Fortinet wyłącznie za pośrednictwem zweryfikowanych kanałów aktualizacji. Nie należy polegać na monitach ani linkach dostarczanych przez e-mail, czat lub nieznane interfejsy.

Poza natychmiastową poprawką, oto konkretne kroki, które warto potraktować priorytetowo:

• Przeprowadź audyt zarządzanych punktów końcowych pod kątem oznak kompromitacji. Poszukaj nieoczekiwanych zdarzeń wykonania PowerShell, nietypowych połączeń wychodzących lub dowodów na działania związane z pobieraniem danych uwierzytelniających w magazynach danych przeglądarki.
• Ogranicz dostęp do serwera zarządzania. FortiClient EMS nie powinien być wystawiony na dostęp z publicznego internetu bez ścisłej kontroli dostępu. Ogranicz, kto i skąd może dotrzeć do interfejsu zarządzania.
• Wymuś uwierzytelnianie wieloskładnikowe we wszystkich punktach dostępu zdalnego. Skradzione dane uwierzytelniające z przeglądarki są najbardziej niebezpieczne, gdy zapewniają bezpośredni dostęp do systemów firmowych. MFA przerywa ten łańcuch.
• Edukuj administratorów na temat taktyk fałszywych poprawek. Ataki socjotechniczne wymierzone w pracowników IT są coraz częstsze. Zespoły, które rozumieją tę taktykę, rzadziej dadzą się na nią nabrać.
• Oceń kontrole na poziomie sieci dla zdalnych punktów końcowych. Narzędzia szyfrujące i uwierzytelniające ruch z urządzeń zdalnych dodają warstwę ochrony, która uzupełnia bezpieczeństwo punktów końcowych, szczególnie gdy samo narzędzie ochrony punktów końcowych zostało skompromitowane.

Kampania CVE-2026-35616 przypomina, że zrozumienie różnicy między załataną luką a w pełni zminimalizowanym zagrożeniem ma znaczenie. Nawet po zastosowaniu poprawek organizacje muszą zbadać, czy fałszywa poprawka mogła zostać już wykonana w ich środowisku. Czas instalacji poprawki i uzupełniające kontrole są częścią równania, co właśnie dlatego ramy bezpieczeństwa coraz częściej traktują ochronę punktów końcowych jako jedną z wielu warstw, a nie jako samodzielne rozwiązanie.

Jeśli Twoja organizacja zarządza zdalnym zespołem, teraz jest dobry moment, aby przeprowadzić audyt nie tylko wdrożenia FortiClient EMS, ale także szerszej strategii bezpieczeństwa warstwowego. Zidentyfikowanie luk, zanim wykorzysta je następna kampania, jest o wiele lepszą pozycją niż reagowanie po tym, jak dane uwierzytelniające zostały już skradzione.