CVE-2026-35616: FortiClient EMS utnyttjas via falska patchar för att släppa EKZ Infostealer

CVE-2026-35616: FortiClient EMS utnyttjas via falska patchar för att släppa EKZ Infostealer

En kritisk sårbarhet i Fortinets FortiClient Endpoint Management Server utnyttjas nu aktivt i vildmarken. Spåras som CVE-2026-35616, används felet av hotaktörer för att distribuera EKZ Infostealer-malware via en särskilt vilseledande metod: en falsk programuppdatering. Kampanjen för stöld av autentiseringsuppgifter via FortiClient EMS riktar sig mot organisationer som förlitar sig på centraliserad slutpunktshantering och förvandlar deras egen säkerhetsinfrastruktur till en attackvektor.

För IT- och säkerhetsteam som hanterar distribuerade eller distansarbetande personalstyrkor är detta inte ett abstrakt hot. Attackkedjan är utformad för att se legitim ut, vilket gör den särskilt farlig.

Hur CVE-2026-35616 utnyttjas i vildmarken

CVE-2026-35616 har en CVSS-poäng på 9.1 och möjliggör förbigående av autentisering och eskalering av privilegier inom FortiClient EMS. I praktiken kan angripare komma åt hanteringsservern utan giltiga autentiseringsuppgifter och köra kommandon med förhöjda privilegier.

Det som skiljer denna kampanj från ett typiskt utnyttjandeförsök är det sociala ingenjörskonstlager som omger den. Hotaktörer levererar en falsk patch förklädd som en legitim uppdatering för den berörda programvaran. När en administratör eller en hanterad slutpunkt behandlar denna bedrägliga patch, kör den tyst skadliga PowerShell-kommandon i bakgrunden. Offret ser en till synes normal uppdatering; angriparen får ett fotfäste.

Fortinet utfärdade snabbkorrigeringar i april efter att ha bekräftat att sårbarheten hade utnyttjats som en zero-day-sårbarhet, vilket innebär att attackerna pågick innan en korrigering fanns tillgänglig. Organisationer som inte har tillämpat dessa snabbkorrigeringar förblir exponerade, men även patchade miljöer kan vara i farozonen om den falska patchen redan levererades före åtgärdandet.

Vad EKZ Infostealer stjäl och vem som är i farozonen

När de skadliga PowerShell-kommandona körs distribueras EKZ Infostealer på den komprometterade slutpunkten. Dess huvudsakliga mål är att samla in autentiseringsuppgifter. Malwaren riktar specifikt in sig på webbläsares lagrade autentiseringsuppgifter, inklusive sparade användarnamn och lösenord i vanligt förekommande webbläsare, tillsammans med annan känslig data tillgänglig på den hanterade maskinen.

Eftersom FortiClient EMS är utformat för att hantera slutpunkter över en hel organisation från en enda konsol, påverkar en framgångsrik kompromettering inte bara en maskin. Angripare som får tillgång via EMS-servern kan potentiellt nå alla slutpunkter under dess hanteringsparaply. Detta gör att sprängradien för en enskild exploatering är betydligt större än vid en kompromettering av en fristående enhet.

De organisationer som är mest direkt utsatta är de som använder FortiClient EMS för att hantera distans- eller hybridpersonal, där slutpunkter är spridda över hemnätverk, filialkontor och andra miljöer utanför den traditionella företagsperimetern. Distansarbetare lagrar ofta autentiseringsuppgifter i webbläsare för bekvämlighet, vilket gör dessa slutpunkter till högt värderade mål för informationsstöldare.

Varför slutpunktssäkerhetsverktyg ensamma inte räcker för distansteam

Det finns en smärtsam ironi inbäddad i denna kampanj. FortiClient själv är en slutpunktssäkerhetsprodukt, och dess hanteringsserver används nu som leveransmekanism för malware. Detta understryker en bredare princip som säkerhetsteam ofta erkänner i teorin men har svårt att operationalisera i praktiken: inget enskilt säkerhetsverktyg är tillräckligt på egen hand.

Slutpunktssäkerhetsplattformar är värdefulla komponenter i en försvarsstrategi, men de är också programvara, och programvara har sårbarheter. När ett centraliserat hanteringsverktyg komprometteras kan det neutralisera de skydd som det var avsett att upprätthålla. Angripare förstår detta, vilket är anledningen till att hanteringsgränssnitt och säkerhetsinfrastruktur har blivit högt prioriterade mål.

För distansteam i synnerhet sträcker sig attackytan långt bortom den hanterade enheten. Nätverkstrafik, autentiseringsöverföring och autentiseringsflöden passerar genom miljöer som organisationen inte fullt ut kontrollerar. Skiktade kontroller, inklusive nätverksnivåskydd, nolltillitspolicyer och starka metoder för autentiseringshygien, är nödvändiga komplement till slutpunktssäkerhetsverktyg, inte valbara tillägg.

Leveransmetoden med falska patchar i denna kampanj visar också hur själva uppdateringsprocessen kan utnyttjas. Om anställda eller administratörer betingas att installera patchar vid efterfrågan kan angripare använda detta beteende som vapen. Att verifiera äktheten av patchar via officiella leverantörskanaler före installation är ett kritiskt steg som denna kampanj specifikt försöker kringgå.

Hur du skyddar din organisation mot attacker med falska patchar och informationsstöldare

För organisationer som kör FortiClient EMS är den omedelbara prioriteten att tillämpa Fortinets officiella snabbkorrigeringar endast via verifierade uppdateringskanaler. Lita inte på meddelanden eller länkar som levereras via e-post, chatt eller okända gränssnitt.

Utöver den omedelbara patchen finns här konkreta åtgärder som är värda att prioritera:

• Granska hanterade slutpunkter för tecken på kompromettering. Leta efter oväntade PowerShell-körningar, ovanliga utgående anslutningar eller bevis på insamling av autentiseringsuppgifter i webbläsares datalager.
• Begränsa åtkomst till hanteringsservern. FortiClient EMS bör inte exponeras mot det publika internet utan strikta åtkomstkontroller. Begränsa vem som kan nå hanteringsgränssnittet och varifrån.
• Tillämpa multifaktorautentisering på alla distansåtkomstpunkter. Stulna webbläsaruppgifter är mest farliga när de ger direkt åtkomst till företagssystem. MFA bryter den kedjan.
• Utbilda administratörer om taktiker med falska patchar. Sociala ingenjörsattacker riktade mot IT-personal blir allt vanligare. Team som förstår taktiken löper mindre risk att falla offer för den.
• Utvärdera nätverksnivåskontroller för fjärrslutpunkter. Verktyg som krypterar och autentiserar trafik från fjärrenheter lägger till ett skyddslager som kompletterar slutpunktssäkerhet, särskilt när själva slutpunktssäkerhetsverktyget är komprometterat.

Kampanjen CVE-2026-35616 är en påminnelse om att det spelar roll att förstå skillnaden mellan en patchad sårbarhet och ett fullständigt begränsat hot. Även efter att snabbkorrigeringar tillämpats måste organisationer undersöka om den falska patchen redan kan ha körts i deras miljö. Timing av patchningen och kompletterande kontroller är båda delar av ekvationen, vilket är exakt varför säkerhetsramverk i allt högre grad behandlar slutpunktsskydd som ett lager bland många istället för en fristående lösning.

Om din organisation hanterar en distansarbetsstyrka är det nu ett bra tillfälle att granska inte bara din FortiClient EMS-distribution utan även din bredare lagrade säkerhetsstrategi. Att identifiera luckor innan nästa kampanj utnyttjar dem är en mycket bättre position än att reagera efter att autentiseringsuppgifter redan har stulits.