CVE-2026-35616：攻击者利用虚假补丁分发 EKZ 信息窃取程序，入侵 FortiClient EMS

CVE-2026-35616：攻击者利用虚假补丁分发 EKZ 信息窃取程序，入侵 FortiClient EMS

Fortinet 的 FortiClient 终端管理服务器中存在一个严重漏洞，目前正遭到大规模利用。该漏洞编号为 CVE-2026-35616，攻击者正通过一种极具欺骗性的手段——伪造软件补丁——利用此漏洞投放 EKZ 信息窃取恶意软件。这场 FortiClient EMS 漏洞凭证窃取活动瞄准了依赖集中式终端管理的组织，将其自身的安全基础设施转变为攻击媒介。

对于管理分散或远程办公团队的 IT 和安全团队而言，这并非抽象的威胁。整个攻击链被设计得看似合法，这正是其尤其危险的原因。

CVE-2026-35616 野外利用方式

CVE-2026-35616 的 CVSS 评分为 9.1，可在 FortiClient EMS 中实现预认证绕过与权限提升。具体来说，攻击者无需有效凭证即可访问管理服务器，并以高权限执行命令。

此次攻击活动与常规漏洞利用的不同之处，在于其包裹着一层社会工程学外壳。攻击者将伪造的补丁伪装成受影响软件的合法更新进行投递。当管理员或受管终端处理这一欺诈性补丁时，它会在后台静默执行恶意的 PowerShell 命令。受害者看到的是看似正常的更新，而攻击者则获得了立足点。

Fortinet 在确认该漏洞已被作为零日漏洞利用后，于四月份发布了热修复补丁，这意味着攻击在修复方案推出前便已展开。尚未应用这些热修复的组织仍然面临风险，但即便已打补丁的环境，如果虚假补丁诱饵在修复之前已成功投放，也可能遭受威胁。

EKZ 信息窃取程序窃取哪些信息及谁面临风险

一旦恶意 PowerShell 命令执行，EKZ 信息窃取程序就会被投放到受感染的终端上。其主要目标是收割凭证。该恶意软件专门针对存储在浏览器中的凭证，包括常用浏览器中已保存的用户名和密码，以及受管设备上可访问的其他敏感数据。

由于 FortiClient EMS 设计用于通过单一控制台管理整个组织的终端，一旦被成功入侵，受影响的远不止一台设备。通过 EMS 服务器获得访问权限的攻击者，可能触及其所管理的所有终端。这使得单次利用事件的爆炸半径远大于独立设备被攻陷的情况。

最直接面临风险的是使用 FortiClient EMS 管理远程或混合办公团队的组织，其终端分布在家用网络、分支机构及其他传统企业边界之外的环境。远程工作者出于便利，经常将凭证存储在浏览器中，使这些终端成为信息窃取程序的高价值目标。

为何仅靠终端安全工具对远程团队而言并不足够

此次攻击活动中蕴含着一个痛苦的讽刺。FortiClient 本身就是一款终端安全产品，如今其管理服务器却被用作投放恶意软件的通道。这凸显了一个安全团队常理论上认同、但实践中难以落实的更广泛原则：没有任何单一安全工具是万能的。

终端安全平台是防御策略的重要组成部分，但它们也是软件，而软件存在漏洞。当集中管理工具被攻陷时，它可能使自身本应强制实施的安全保护失效。攻击者深谙此道，因此管理界面和安全基础设施已成为优先攻击目标。

特别是对远程团队而言，攻击面远不止受管设备本身。网络流量、凭证传输和身份验证流程都经过组织无法完全控制的环境。多层控制措施，包括网络层防护、零信任访问策略和严格的凭证卫生习惯，是终端安全工具的必要补充，而非可选配件。

此次攻击活动中使用的虚假补丁投放方式，也凸显了更新过程本身如何被利用。如果员工或管理员习惯于按需安装补丁，攻击者便能将这种行为武器化。在安装前，务必通过官方厂商渠道验证补丁的真实性，这是本次攻击活动特意试图绕过的关键步骤。

如何加强组织防御虚假补丁和信息窃取攻击

对于运行 FortiClient EMS 的组织，当务之急是仅通过已验证的更新渠道，应用 Fortinet 的官方热修复补丁。切勿依赖通过邮件、聊天或陌生界面传递的提示或链接。

除立即打补丁外，以下具体步骤值得优先采取：

• 审计受管终端，查找失陷迹象。 检查异常的 PowerShell 执行事件、不寻常的外发连接，或浏览器数据存储中凭证抓取活动的痕迹。
• 限制管理服务器访问。 FortiClient EMS 不应不经严格访问控制就暴露在公网上。限制能够访问管理界面的人员和来源。
• 在所有远程访问点实施多因素认证。 窃取的浏览器凭证在能直接访问公司系统时危害最大。多因素认证能打破这一链条。
• 教育管理员警惕虚假补丁策略。 针对 IT 人员的社会工程攻击日益普遍。了解此策略的团队更不容易上当。
• 评估远程终端的网络层控制。 用于加密和验证远程设备流量的工具，能增加一层防护，与终端安全形成互补，尤其当终端安全工具自身遭到入侵时。

CVE-2026-35616 攻击活动提醒我们，理解已打补丁的漏洞与全面缓解的威胁之间的区别至关重要。即便应用了热修复，组织仍需调查其环境中是否已执行了虚假补丁诱饵。补丁时机和补充控制措施都是整个防护体系的一部分，这正是安全框架越来越将终端保护视为众多防护层之一、而非独立解决方案的原因。

如果您的组织管理着远程办公团队，现在正是审计不仅限于 FortiClient EMS 部署，更包括整体分层安全策略的好时机。在下一波攻击活动利用这些缺口之前识别它们，远比凭证已被窃取后再被动响应更为有利。