CVE-2026-35616: Уязвимость FortiClient EMS используется через поддельные патчи для распространения инфостилера EKZ

CVE-2026-35616: Уязвимость FortiClient EMS используется через поддельные патчи для распространения инфостилера EKZ

Критическая уязвимость в сервере управления конечными точками FortiClient компании Fortinet активно используется злоумышленниками в реальных атаках. Отслеживаемая как CVE-2026-35616, она применяется для распространения вредоносного ПО EKZ Infostealer особенно обманным способом: через поддельное обновление безопасности. Кампания по краже учётных данных через уязвимость FortiClient EMS нацелена на организации, использующие централизованное управление конечными точками, превращая собственную инфраструктуру безопасности в вектор атаки.

Для ИТ-команд и специалистов по безопасности, управляющих распределёнными или удалёнными сотрудниками, это не абстрактная угроза. Цепочка атаки спроектирована так, чтобы выглядеть легитимной, что делает её особенно опасной.

Как CVE-2026-35616 эксплуатируется в реальных условиях

CVE-2026-35616 имеет оценку CVSS 9.1 и позволяет обойти предварительную аутентификацию и повысить привилегии внутри FortiClient EMS. На практике злоумышленники могут получить доступ к серверу управления без действительных учётных данных и выполнять команды с повышенными правами.

Что отличает эту кампанию от типичной эксплуатации, так это обёртка из социальной инженерии. Злоумышленники доставляют поддельный патч, замаскированный под легитимное обновление уязвимого ПО. Когда администратор или управляемая конечная точка обрабатывает этот фальшивый патч, в фоновом режиме незаметно выполняются вредоносные команды PowerShell. Жертва видит, казалось бы, обычное обновление; злоумышленник получает точку опоры.

Fortinet выпустила экстренные исправления в апреле после подтверждения того, что уязвимость эксплуатировалась как уязвимость нулевого дня — то есть атаки начались до выхода исправления. Организации, не применившие эти исправления, остаются уязвимыми, но даже пропатченные среды могут быть под угрозой, если приманка с поддельным патчем была доставлена до устранения уязвимости.

Что крадёт инфостилер EKZ и кто в группе риска

После выполнения вредоносных команд PowerShell на скомпрометированную конечную точку развёртывается инфостилер EKZ. Его основная цель — сбор учётных данных. Вредоносное ПО нацелено прежде всего на сохранённые в браузерах учётные данные, включая сохранённые имена пользователей и пароли в наиболее распространённых браузерах, а также другие конфиденциальные данные, доступные на управляемом устройстве.

Поскольку FortiClient EMS предназначен для управления конечными точками всей организации из единой консоли, успешная компрометация затрагивает не только одну машину. Злоумышленники, получившие доступ через EMS-сервер, потенциально могут добраться до всех конечных точек, находящихся под его управлением. Это делает радиус поражения от одной эксплуатации значительно больше, чем при компрометации отдельного устройства.

Наиболее непосредственно подвержены риску организации, использующие FortiClient EMS для управления удалёнными или гибридными сотрудниками, где конечные точки распределены по домашним сетям, филиалам и другим средам за пределами традиционного корпоративного периметра. Удалённые сотрудники часто хранят учётные данные в браузерах для удобства, что делает такие конечные точки высокоценными целями для инфостилеров.

Почему одних средств защиты конечных точек недостаточно для удалённых команд

В этой кампании заключена болезненная ирония. Сам FortiClient является продуктом для безопасности конечных точек, и его сервер управления теперь используется как механизм доставки вредоносного ПО. Это подчёркивает более широкий принцип, который службы безопасности часто признают в теории, но с трудом реализуют на практике: ни один отдельно взятый инструмент безопасности не является достаточным сам по себе.

Платформы для защиты конечных точек — ценные компоненты оборонной стратегии, но они тоже являются программным обеспечением, а в ПО бывают уязвимости. Когда централизованный инструмент управления скомпрометирован, он может нейтрализовать защиту, которую должен был обеспечивать. Злоумышленники это понимают, поэтому интерфейсы управления и сама инфраструктура безопасности становятся приоритетными целями.

Для удалённых команд поверхность атаки распространяется далеко за пределы управляемого устройства. Сетевой трафик, передача учётных данных и потоки аутентификации проходят через среды, которые организация полностью не контролирует. Многоуровневые средства защиты, включая сетевые меры, политики нулевого доверия и строгую гигиену учётных данных, являются необходимыми дополнениями к средствам защиты конечных точек, а не опциональными излишествами.

Метод доставки через поддельные патчи, использованный в этой кампании, также показывает, как сам процесс обновления может быть использован злоумышленниками. Если сотрудники или администраторы приучены устанавливать обновления по требованию, эту привычку могут превратить в оружие. Проверка подлинности патчей через официальные каналы производителя перед установкой — критически важный шаг, который данная кампания как раз и пытается обойти.

Как повысить защищённость организации от атак с поддельными патчами и инфостилерами

Для организаций, использующих FortiClient EMS, первоочередной задачей является применение официальных экстренных исправлений Fortinet исключительно через проверенные каналы обновлений. Не полагайтесь на предложения или ссылки, поступающие по электронной почте, в чатах или через незнакомые интерфейсы.

Помимо немедленной установки исправления, вот конкретные шаги, на которые стоит обратить внимание:

• Проверьте управляемые конечные точки на признаки компрометации. Обратите внимание на подозрительные события выполнения PowerShell, необычные исходящие соединения или следы сбора учётных данных в хранилищах браузеров.
• Ограничьте доступ к серверу управления. FortiClient EMS не должен быть доступен из публичного интернета без строгих средств контроля доступа. Ограничьте, кто и откуда может обращаться к интерфейсу управления.
• Включите многофакторную аутентификацию для всех точек удалённого доступа. Украденные учётные данные браузера наиболее опасны, когда дают прямой доступ к корпоративным системам. MFA разрывает эту цепочку.
• Обучите администраторов тактикам поддельных патчей. Атаки с использованием социальной инженерии, нацеленные на ИТ-персонал, становятся всё более распространёнными. Команды, понимающие эту тактику, с меньшей вероятностью на неё попадутся.
• Оцените средства контроля на сетевом уровне для удалённых конечных точек. Инструменты, шифрующие и аутентифицирующие трафик с удалённых устройств, добавляют уровень защиты, дополняющий безопасность конечных точек, особенно если само средство защиты конечных точек скомпрометировано.

Кампания CVE-2026-35616 служит напоминанием о том, что важно понимать разницу между пропатченной уязвимостью и полностью нейтрализованной угрозой. Даже после применения экстренных исправлений организациям необходимо выяснить, не была ли приманка с поддельным патчем уже выполнена в их среде. Своевременность установки патчей и дополнительные меры защиты — обе части этого уравнения, и именно поэтому подходы к безопасности всё чаще рассматривают защиту конечных точек как один из многих уровней, а не как отдельное решение.

Если ваша организация управляет удалёнными сотрудниками, сейчас самое время провести аудит не только развёртывания FortiClient EMS, но и всей вашей многоуровневой стратегии безопасности. Выявить пробелы до того, как очередная кампания их использует, — гораздо более выгодная позиция, чем реагировать после того, как учётные данные уже украдены.