CVE-2026-35616: Експлуатація FortiClient EMS через підроблені патчі для поширення інфостілера EKZ

CVE-2026-35616: Експлуатація FortiClient EMS через підроблені патчі для поширення інфостілера EKZ

Критична вразливість у сервері керування кінцевими точками FortiClient Endpoint Management Server (EMS) компанії Fortinet зараз активно використовується в реальних атаках. Відстежувана як CVE-2026-35616, вона застосовується зловмисниками для доставки шкідливої програми EKZ Infostealer за допомогою особливо оманливого методу: підробленого програмного патча. Кампанія з викрадення облікових даних через вразливість FortiClient EMS націлена на організації, які покладаються на централізоване керування кінцевими точками, перетворюючи їхню власну інфраструктуру безпеки на вектор атаки.

Для ІТ-команд та команд безпеки, які керують розподіленими або віддаленими працівниками, це не абстрактна загроза. Ланцюжок атаки розроблений так, щоб виглядати легітимно, що робить його особливо небезпечним.

Як CVE-2026-35616 експлуатується в реальних умовах

CVE-2026-35616 має оцінку CVSS 9.1 і дозволяє обхід автентифікації до входу в систему та підвищення привілеїв у FortiClient EMS. Практично це означає, що зловмисники можуть отримати доступ до сервера керування без дійсних облікових даних і виконувати команди з підвищеними привілеями.

Що відрізняє цю кампанію від типової спроби експлуатації, так це шар соціальної інженерії, який її огортає. Зловмисники доставляють підроблений патч, замаскований під легітимне оновлення для ураженого програмного забезпечення. Коли адміністратор або керована кінцева точка обробляє цей фальшивий патч, у фоновому режимі непомітно виконуються шкідливі команди PowerShell. Жертва бачить те, що виглядає як звичайне оновлення; зловмисник отримує плацдарм.

Компанія Fortinet випустила термінові виправлення у квітні після підтвердження того, що вразливість експлуатувалася як вразливість нульового дня, тобто атаки почалися до появи виправлення. Організації, які не застосували ці виправлення, залишаються вразливими, але навіть виправлені середовища можуть бути під загрозою, якщо приманка з підробленим патчем уже була доставлена до усунення вразливості.

Що краде EKZ Infostealer і хто в зоні ризику

Після виконання шкідливих команд PowerShell на скомпрометованій кінцевій точці розгортається інфостілер EKZ. Його основна мета — збирання облікових даних. Шкідлива програма спеціально націлена на облікові дані, збережені в браузерах, включаючи збережені імена користувачів і паролі в найпоширеніших браузерах, а також інші конфіденційні дані, доступні на керованій машині.

Оскільки FortiClient EMS призначений для керування кінцевими точками в масштабах усієї організації з єдиної консолі, успішна компрометація впливає не лише на одну машину. Зловмисники, які отримують доступ через сервер EMS, потенційно можуть дістатися до всіх кінцевих точок, що перебувають під його управлінням. Це робить радіус ураження від однієї експлуатації значно більшим, ніж компрометація окремого пристрою.

Найбільшому прямому ризику піддаються організації, які використовують FortiClient EMS для керування віддаленими або гібридними працівниками, де кінцеві точки розподілені по домашніх мережах, філіях та інших середовищах за межами традиційного корпоративного периметра. Віддалені працівники часто заради зручності зберігають облікові дані в браузерах, що робить ці кінцеві точки високоцінними цілями для інфостілерів.

Чому самих лише інструментів безпеки кінцевих точок недостатньо для віддалених команд

У цій кампанії є болісна іронія. FortiClient сам по собі є продуктом безпеки кінцевих точок, а його сервер керування тепер використовується як механізм доставки шкідливого ПЗ. Це підкреслює ширший принцип, який команди безпеки часто визнають у теорії, але з труднощами реалізують на практиці: жоден окремий інструмент безпеки не є достатнім сам по собі.

Платформи безпеки кінцевих точок є цінними компонентами стратегії захисту, але вони також є програмним забезпеченням, а програмне забезпечення має вразливості. Коли централізований інструмент керування скомпрометовано, він може нейтралізувати захист, який мав забезпечувати. Зловмисники це розуміють, тому інтерфейси керування та інфраструктура безпеки стали пріоритетними цілями.

Особливо для віддалених команд поверхня атаки виходить далеко за межі керованого пристрою. Мережевий трафік, передача облікових даних і потоки автентифікації проходять через середовища, які організація не контролює повністю. Багаторівневі засоби контролю, включаючи захист на мережевому рівні, політики нульової довіри доступу та сувору гігієну облікових даних, є необхідними доповненнями до інструментів безпеки кінцевих точок, а не додатковими опціями.

Метод доставки підробленого патча, використаний у цій кампанії, також підкреслює, як сам процес оновлення може бути використаний зловмисниками. Якщо співробітники або адміністратори звикли встановлювати патчі за вимогою, зловмисники можуть перетворити цю поведінку на зброю. Перевірка автентичності патчів через офіційні канали постачальника перед встановленням є критичним кроком, який ця кампанія спеціально намагається обійти.

Як посилити захист вашої організації від атак через підроблені патчі та інфостілери

Для організацій, які використовують FortiClient EMS, негайним пріоритетом є застосування офіційних термінових виправлень Fortinet виключно через перевірені канали оновлень. Не покладайтеся на підказки або посилання, надіслані електронною поштою, у чатах або через незнайомі інтерфейси.

Крім негайного виправлення, ось конкретні кроки, які варто пріоритезувати:

• Перевірте керовані кінцеві точки на ознаки компрометації. Шукайте несподівані події виконання PowerShell, незвичні вихідні підключення або докази збирання облікових даних у сховищах даних браузерів.
• Обмежте доступ до сервера керування. FortiClient EMS не повинен бути відкритим у публічний інтернет без суворих засобів контролю доступу. Обмежте, хто і звідки може отримати доступ до інтерфейсу керування.
• Запровадьте багатофакторну автентифікацію для всіх точок віддаленого доступу. Викрадені облікові дані браузера найнебезпечніші, коли вони надають прямий доступ до корпоративних систем. Багатофакторна автентифікація (MFA) розриває цей ланцюг.
• Навчіть адміністраторів тактики підроблених патчів. Атаки соціальної інженерії, спрямовані на ІТ-персонал, стають дедалі поширенішими. Команди, які розуміють цю тактику, рідше на неї потрапляють.
• Оцініть засоби контролю на мережевому рівні для віддалених кінцевих точок. Інструменти, що шифрують і автентифікують трафік від віддалених пристроїв, додають рівень захисту, який доповнює безпеку кінцевих точок, особливо коли сам інструмент безпеки скомпрометовано.

Кампанія CVE-2026-35616 є нагадуванням, що важливо розуміти різницю між виправленою вразливістю та повністю усуненою загрозою. Навіть після застосування термінових виправлень організаціям потрібно дослідити, чи не була приманка з підробленим патчем уже виконана в їхньому середовищі. Час встановлення патча та додаткові засоби контролю є частинами рівняння, і саме тому фреймворки безпеки все частіше розглядають захист кінцевих точок як один із багатьох рівнів, а не як окреме рішення.

Якщо ваша організація керує віддаленими працівниками, зараз слушний час перевірити не тільки розгортання FortiClient EMS, але й ширшу багаторівневу стратегію безпеки. Виявити прогалини до того, як наступна кампанія ними скористається, – значно краща позиція, ніж реагувати після того, як облікові дані вже викрадено.