CVE-2026-35616: FortiClient EMS Exploatat prin Patch-uri False pentru a Livra Infostealer-ul EKZ

CVE-2026-35616: FortiClient EMS Exploatat prin Patch-uri False pentru a Livra Infostealer-ul EKZ

O vulnerabilitate critică în FortiClient Endpoint Management Server de la Fortinet este acum exploatată activ în atacuri reale. Urmărită sub numele CVE-2026-35616, această breșă este folosită de actori de amenințare pentru a distribui malware-ul EKZ Infostealer printr-o metodă deosebit de înșelătoare: un patch de software fals. Campania de furt de credențiale prin vulnerabilitatea FortiClient EMS vizează organizațiile care se bazează pe gestionarea centralizată a punctelor terminale, transformând propria infrastructură de securitate într-un vector de atac.

Pentru echipele IT și de securitate care administrează forțe de muncă distribuite sau la distanță, aceasta nu este o amenințare teoretică. Lanțul de atac este conceput să pară legitim, ceea ce îl face deosebit de periculos.

Cum este exploatată CVE-2026-35616 în atacuri reale

CVE-2026-35616 are un scor CVSS de 9,1 și permite ocolirea autentificării inițiale și escaladarea privilegiilor în FortiClient EMS. Practic, atacatorii pot accesa serverul de gestionare fără credențiale valide și pot executa comenzi la niveluri de privilegii ridicate.

Ceea ce diferențiază această campanie de o tentativă tipică de exploatare este stratul de inginerie socială adăugat. Actorii amenințării distribuie un patch fals deghizat ca o actualizare legitimă pentru software-ul afectat. Atunci când un administrator sau un punct terminal gestionat procesează acest patch fraudulos, acesta execută silențios comenzi PowerShell malițioase în fundal. Victima vede ceea ce pare a fi o actualizare normală; atacatorul obține un punct de sprijin.

Fortinet a emis hotfix-uri în aprilie, după ce a confirmat că vulnerabilitatea a fost exploatată ca vulnerabilitate zero-day, ceea ce înseamnă că atacurile erau deja în desfășurare înainte ca o remediere să fie disponibilă. Organizațiile care nu au aplicat acele hotfix-uri rămân expuse, dar chiar și mediile actualizate pot fi în pericol dacă momeala cu patch-ul fals a fost livrată înainte de remediere.

Ce fură EKZ Infostealer și cine este expus riscului

Odată ce comenzile PowerShell malițioase se execută, EKZ Infostealer este implementat pe punctul terminal compromis. Obiectivul său principal este recoltarea de credențiale. Malware-ul vizează în mod specific credențialele stocate în browser, inclusiv nume de utilizator și parole salvate în browserele utilizate frecvent, împreună cu alte date sensibile accesibile pe mașina gestionată.

Deoarece FortiClient EMS este conceput pentru a gestiona punctele terminale din întreaga organizație dintr-o singură consolă, o compromitere reușită nu afectează doar o singură mașină. Atacatorii care obțin acces prin serverul EMS pot ajunge potențial la toate punctele terminale aflate sub umbrela sa de gestionare. Acest lucru face ca raza de explozie a unui singur eveniment de exploatare să fie semnificativ mai mare decât compromiterea unui dispozitiv de sine stătător.

Organizațiile cele mai expuse riscului sunt cele care utilizează FortiClient EMS pentru a gestiona forțe de muncă la distanță sau hibride, unde punctele terminale sunt distribuite în rețele domestice, birouri filiale și alte medii din afara perimetrului corporativ tradițional. Lucrătorii la distanță stochează frecvent credențiale în browser pentru comoditate, făcând acele puncte terminale ținte de mare valoare pentru infostealeri.

De ce instrumentele de securitate pentru puncte terminale nu sunt suficiente pentru echipele la distanță

Există o ironie dureroasă în această campanie. FortiClient însuși este un produs de securitate pentru puncte terminale, iar serverul său de gestionare este acum folosit ca mecanism de livrare a malware-ului. Acest lucru subliniază un principiu mai larg pe care echipele de securitate îl recunosc adesea teoretic, dar cu care se străduiesc să îl pună în practică: niciun instrument de securitate nu este suficient de unul singur.

Platformele de securitate pentru puncte terminale sunt componente valoroase ale unei strategii de apărare, dar sunt și ele software, iar software-ul are vulnerabilități. Atunci când un instrument de gestionare centralizat este compromis, acesta poate neutraliza protecțiile pe care ar fi trebuit să le aplice. Atacatorii înțeleg acest lucru, motiv pentru care interfețele de gestionare și infrastructura de securitate au devenit ținte prioritare.

Pentru echipele la distanță, în special, suprafața de atac se extinde cu mult dincolo de dispozitivul gestionat. Traficul de rețea, transmiterea credențialelor și fluxurile de autentificare trec toate prin medii pe care organizația nu le controlează pe deplin. Controalele stratificate, inclusiv protecțiile la nivel de rețea, politicile de acces zero-trust și practicile solide de igienă a credențialelor, sunt complemente necesare instrumentelor de securitate pentru puncte terminale, nu extraopționale.

Metoda de livrare prin patch-uri false utilizată în această campanie evidențiază, de asemenea, modul în care procesul de actualizare în sine poate fi exploatat. Dacă angajații sau administratorii sunt obișnuiți să instaleze patch-uri la cerere, atacatorii pot transforma acest comportament într-o armă. Verificarea autenticității patch-urilor prin canalele oficiale ale furnizorului înainte de instalare este un pas critic pe care această campanie încearcă în mod specific să îl eludeze.

Cum să vă întăriți organizația împotriva atacurilor cu patch-uri false și infostealeri

Pentru organizațiile care rulează FortiClient EMS, prioritatea imediată este aplicarea hotfix-urilor oficiale de la Fortinet numai prin canale de actualizare verificate. Nu vă bazați pe solicitări sau link-uri livrate prin e-mail, chat sau interfețe necunoscute.

Dincolo de patch-ul imediat, iată pașii concreți care merită prioritizați:

• Auditați punctele terminale gestionate pentru semne de compromitere. Căutați evenimente neașteptate de execuție PowerShell, conexiuni neobișnuite către exterior sau dovezi ale activității de colectare a credențialelor în datele stocate de browser.
• Restricționați accesul la serverul de gestionare. FortiClient EMS nu ar trebui să fie expus la internetul public fără controale stricte de acces. Limitați cine poate ajunge la interfața de gestionare și de unde.
• Impuneți autentificarea multi-factor pentru toate punctele de acces la distanță. Credențialele de browser furate sunt cele mai periculoase atunci când oferă acces direct la sistemele corporative. MFA rupe acel lanț.
• Educați administratorii cu privire la tacticile de patch-uri false. Atacurile de inginerie socială care vizează personalul IT sunt din ce în ce mai frecvente. Echipele care înțeleg tactica sunt mai puțin predispuse să cadă în capcană.
• Evaluați controalele la nivel de rețea pentru punctele terminale la distanță. Instrumentele care criptează și autentifică traficul de la dispozitivele la distanță adaugă un strat de protecție care completează securitatea punctelor terminale, în special atunci când un instrument de securitate pentru puncte terminale este el însuși compromis.

Campania CVE-2026-35616 este o reamintire că înțelegerea diferenței dintre o vulnerabilitate corectată prin patch și o amenințare complet atenuată contează. Chiar și după aplicarea hotfix-urilor, organizațiile trebuie să investigheze dacă momeala cu patch-ul fals ar fi putut fi deja executată în mediul lor. Momentul aplicării patch-urilor și controalele complementare sunt ambele părți ale ecuației, motiv pentru care cadrele de securitate tratează din ce în ce mai mult protecția punctelor terminale ca pe un strat printre multe altele, mai degrabă decât ca pe o soluție de sine stătătoare.

Dacă organizația dumneavoastră gestionează o forță de muncă la distanță, acum este un moment bun să auditați nu doar implementarea FortiClient EMS, ci și strategia generală de securitate stratificată. Identificarea lacunelor înainte ca următoarea campanie să le exploateze este o poziție mult mai bună decât să răspundeți după ce credențialele au fost deja furate.