CVE-2026-35616: FortiClient EMS bị khai thác qua bản vá giả để phát tán EKZ Infostealer

CVE-2026-35616: FortiClient EMS bị khai thác qua bản vá giả để phát tán EKZ Infostealer

Một lỗ hổng nghiêm trọng trong FortiClient Endpoint Management Server của Fortinet hiện đang bị khai thác tích cực trên thực tế. Được định danh là CVE-2026-35616, lỗ hổng này đang bị các tác nhân đe dọa lợi dụng để triển khai phần mềm độc hại EKZ Infostealer thông qua một phương thức đặc biệt tinh vi: một bản vá phần mềm giả mạo. Chiến dịch đánh cắp thông tin xác thực qua lỗ hổng FortiClient EMS này nhắm vào các tổ chức sử dụng giải pháp quản lý điểm cuối tập trung, biến chính hạ tầng bảo mật của họ thành vectơ tấn công.

Đối với các đội ngũ CNTT và bảo mật đang quản lý lực lượng lao động phân tán hoặc làm việc từ xa, đây không phải là mối đe dọa trừu tượng. Chuỗi tấn công được thiết kế để trông có vẻ hợp pháp, và chính điều đó khiến nó trở nên đặc biệt nguy hiểm.

CVE-2026-35616 đang bị khai thác trên thực tế như thế nào

CVE-2026-35616 có điểm CVSS 9.1, cho phép vượt qua xác thực trước khi đăng nhập và leo thang đặc quyền trong FortiClient EMS. Về mặt thực tiễn, kẻ tấn công có thể truy cập máy chủ quản lý mà không cần thông tin xác thực hợp lệ và thực thi lệnh với mức đặc quyền cao.

Điều làm cho chiến dịch này khác biệt so với một nỗ lực khai thác thông thường là lớp kỹ thuật lừa đảo xã hội được bọc bên ngoài. Các tác nhân đe dọa đang phát tán một bản vá giả mạo được ngụy trang dưới dạng bản cập nhật hợp pháp cho phần mềm bị ảnh hưởng. Khi quản trị viên hoặc một điểm cuối được quản lý xử lý bản vá giả này, nó âm thầm thực thi các lệnh PowerShell độc hại trong nền. Nạn nhân thấy thứ có vẻ là một bản cập nhật bình thường; kẻ tấn công có được chỗ đứng.

Fortinet đã phát hành các bản vá nóng vào tháng Tư sau khi xác nhận lỗ hổng đã bị khai thác dưới dạng lỗ hổng zero-day, nghĩa là các cuộc tấn công đã diễn ra trước khi có bản sửa lỗi. Các tổ chức chưa áp dụng các bản vá nóng đó vẫn có nguy cơ bị tấn công, nhưng ngay cả những môi trường đã vá lỗi cũng có thể gặp rủi ro nếu mồi nhử bản vá giả đã được phát tán trước khi khắc phục.

EKZ Infostealer đánh cắp những gì và ai có nguy cơ

Khi các lệnh PowerShell độc hại được thực thi, EKZ Infostealer sẽ được triển khai trên điểm cuối bị xâm nhập. Mục tiêu chính của nó là thu thập thông tin xác thực. Phần mềm độc hại này đặc biệt nhắm vào các thông tin xác thực được lưu trữ trong trình duyệt, bao gồm tên đăng nhập và mật khẩu đã lưu trên các trình duyệt phổ biến, cùng với các dữ liệu nhạy cảm khác có thể truy cập được trên máy được quản lý.

Do FortiClient EMS được thiết kế để quản lý các điểm cuối trên toàn tổ chức từ một bảng điều khiển duy nhất, một vụ xâm nhập thành công không chỉ ảnh hưởng đến một máy. Kẻ tấn công có được quyền truy cập thông qua máy chủ EMS có khả năng vươn tới tất cả các điểm cuối nằm trong phạm vi quản lý của nó. Điều này khiến phạm vi ảnh hưởng của một sự kiện khai thác đơn lẻ lớn hơn đáng kể so với việc xâm nhập một thiết bị độc lập.

Các tổ chức có nguy cơ trực tiếp nhất là những đơn vị sử dụng FortiClient EMS để quản lý lực lượng lao động làm việc từ xa hoặc kết hợp, nơi các điểm cuối phân bổ trên các mạng gia đình, văn phòng chi nhánh và các môi trường khác bên ngoài phạm vi mạng doanh nghiệp truyền thống. Nhân viên làm việc từ xa thường lưu trữ thông tin xác thực trong trình duyệt để thuận tiện, khiến các điểm cuối đó trở thành mục tiêu có giá trị cao đối với các phần mềm đánh cắp thông tin.

Tại sao chỉ các công cụ bảo mật điểm cuối là không đủ cho các đội ngũ làm việc từ xa

Ẩn chứa trong chiến dịch này là một sự trớ trêu đau đớn. Bản thân FortiClient là một sản phẩm bảo mật điểm cuối, và máy chủ quản lý của nó giờ đây bị sử dụng làm cơ chế phát tán phần mềm độc hại. Điều này nhấn mạnh một nguyên tắc rộng hơn mà các đội ngũ bảo mật thường thừa nhận trên lý thuyết nhưng khó thực thi trong thực tế: không có công cụ bảo mật đơn lẻ nào là đủ.

Các nền tảng bảo mật điểm cuối là những thành phần có giá trị trong chiến lược phòng thủ, nhưng chúng cũng là phần mềm, và phần mềm thì có lỗ hổng. Khi một công cụ quản lý tập trung bị xâm nhập, nó có thể vô hiệu hóa các lớp bảo vệ mà nó có nhiệm vụ thực thi. Kẻ tấn công hiểu rõ điều này, đó là lý do tại sao các giao diện quản lý và hạ tầng bảo mật đã trở thành mục tiêu ưu tiên cao.

Đặc biệt đối với các đội ngũ làm việc từ xa, bề mặt tấn công mở rộng ra ngoài thiết bị được quản lý. Lưu lượng mạng, truyền tải thông tin xác thực và các luồng xác thực đều đi qua những môi trường mà tổ chức không hoàn toàn kiểm soát. Các biện pháp kiểm soát phân lớp, bao gồm bảo vệ ở cấp độ mạng, chính sách truy cập zero-trust và thực hành vệ sinh thông tin xác thực mạnh mẽ, là những phần bổ sung cần thiết cho các công cụ bảo mật điểm cuối, chứ không phải là tùy chọn.

Phương thức phát tán bản vá giả được sử dụng trong chiến dịch này cũng làm nổi bật cách mà chính quá trình cập nhật có thể bị khai thác. Nếu nhân viên hoặc quản trị viên đã quen với việc cài đặt bản vá theo yêu cầu, kẻ tấn công có thể vũ khí hóa hành vi đó. Việc xác minh tính xác thực của các bản vá thông qua các kênh chính thức của nhà cung cấp trước khi cài đặt là một bước quan trọng mà chiến dịch này cố tình tìm cách phá vỡ.

Cách củng cố tổ chức của bạn trước các cuộc tấn công bằng bản vá giả và phần mềm đánh cắp thông tin

Đối với các tổ chức đang sử dụng FortiClient EMS, ưu tiên trước mắt là áp dụng các bản vá nóng chính thức của Fortinet thông qua các kênh cập nhật đã được xác minh. Không nên dựa vào các lời nhắc hoặc liên kết được gửi qua email, chat hoặc các giao diện không quen thuộc.

Ngoài việc vá lỗi ngay lập tức, dưới đây là các bước cụ thể đáng được ưu tiên:

• Kiểm tra các điểm cuối được quản lý để tìm dấu hiệu xâm nhập. Tìm kiếm các sự kiện thực thi PowerShell bất thường, các kết nối ra ngoài đáng ngờ, hoặc bằng chứng về hoạt động quét thông tin xác thực trong kho dữ liệu trình duyệt.
• Giới hạn quyền truy cập máy chủ quản lý. Không nên để FortiClient EMS tiếp xúc với internet công cộng mà không có các biện pháp kiểm soát truy cập nghiêm ngặt. Giới hạn những ai có thể truy cập giao diện quản lý và từ đâu.
• Thực thi xác thực đa yếu tố trên tất cả các điểm truy cập từ xa. Thông tin xác thực trình duyệt bị đánh cắp trở nên nguy hiểm nhất khi chúng cung cấp quyền truy cập trực tiếp vào các hệ thống của công ty. Xác thực đa yếu tố phá vỡ chuỗi đó.
• Đào tạo quản trị viên về các thủ đoạn bản vá giả. Các cuộc tấn công lừa đảo xã hội nhắm vào nhân viên CNTT ngày càng phổ biến. Các đội ngũ hiểu rõ thủ đoạn này sẽ ít có khả năng mắc bẫy hơn.
• Đánh giá các biện pháp kiểm soát cấp độ mạng cho các điểm cuối từ xa. Các công cụ mã hóa và xác thực lưu lượng từ thiết bị từ xa bổ sung một lớp bảo vệ, bổ trợ cho bảo mật điểm cuối, đặc biệt khi chính công cụ bảo mật điểm cuối bị xâm nhập.

Chiến dịch CVE-2026-35616 là một lời nhắc nhở rằng việc hiểu rõ sự khác biệt giữa một lỗ hổng đã được vá và một mối đe dọa đã được giảm thiểu hoàn toàn là rất quan trọng. Ngay cả sau khi các bản vá nóng được áp dụng, các tổ chức vẫn cần điều tra xem liệu mồi nhử bản vá giả có thể đã được thực thi trong môi trường của họ hay chưa. Thời điểm vá lỗi và các biện pháp kiểm soát bổ sung đều là một phần của phương trình, đó chính xác là lý do tại sao các khung bảo mật ngày càng coi bảo vệ điểm cuối là một trong nhiều lớp thay vì một giải pháp độc lập.

Nếu tổ chức của bạn quản lý một lực lượng lao động từ xa, đây là thời điểm tốt để không chỉ kiểm tra việc triển khai FortiClient EMS, mà còn cả chiến lược bảo mật phân lớp rộng hơn của bạn. Việc xác định các lỗ hổng trước khi chiến dịch tiếp theo khai thác chúng là vị thế tốt hơn nhiều so với việc phản ứng sau khi thông tin xác thực đã bị đánh cắp.