CVE-2026-35616 w FortiClient EMS aktywnie wykorzystywana do wdrażania malware

Co znajdziesz w tym artykule?

1 Wprowadzenie do problemu / definicja
2 W skrócie
3 Kontekst / historia
4 Analiza techniczna
5 Konsekwencje / ryzyko
6 Rekomendacje
7 Podsumowanie
8 Źródła

Wprowadzenie do problemu / definicja

CVE-2026-35616 to krytyczna podatność typu improper access control w FortiClient Endpoint Management Server (EMS), umożliwiająca zdalne wykonanie nieautoryzowanego kodu lub poleceń bez uwierzytelnienia. Ze względu na centralną rolę EMS w zarządzaniu stacjami końcowymi, skutki skutecznego ataku mogą wykraczać daleko poza kompromitację pojedynczego serwera.

W praktyce oznacza to, że atakujący może przejąć zaufany kanał administracyjny i wykorzystać go do działań obejmujących wiele zarządzanych urządzeń jednocześnie. To właśnie ten aspekt sprawia, że omawiana luka stanowi zagrożenie o wysokim priorytecie operacyjnym.

W skrócie

Podatność dotyczy FortiClient EMS w wersjach 7.4.5 i 7.4.6.
Luka została sklasyfikowana jako krytyczna i była aktywnie wykorzystywana w rzeczywistych atakach.
Napastnicy mieli używać serwera EMS do dystrybucji fałszywej poprawki podszywającej się pod aktualizację Fortinet.
Ładunkiem końcowym był EKZ Infostealer, malware ukierunkowany na kradzież danych uwierzytelniających.
Ryzyko obejmuje zarówno przejęcie kontroli nad środowiskiem endpointów, jak i późniejszą eskalację incydentu z użyciem skradzionych poświadczeń.

Kontekst / historia

Fortinet udostępnił poprawki poza standardowym cyklem aktualizacji na początku kwietnia 2026 roku, jednocześnie potwierdzając aktywne wykorzystanie luki w środowiskach produkcyjnych. To ważny sygnał, ponieważ publikacja awaryjnych poprawek zwykle wskazuje na wysokie prawdopodobieństwo dalszych kampanii ataków.

Sprawa szybko zyskała dodatkową wagę po uwzględnieniu CVE-2026-35616 w katalogu Known Exploited Vulnerabilities prowadzonym przez CISA. W praktyce wpis do KEV oznacza, że organizacje powinny potraktować podatność jako pilny problem bezpieczeństwa wymagający natychmiastowych działań naprawczych.

W kolejnych analizach badacze wskazali, że atakujący nie poprzestawali na samym dostępie do serwera EMS. Zamiast tego wykorzystywali mechanizmy platformy do dalszego rozsyłania złośliwych poleceń i komponentów na zarządzane stacje końcowe, co znacząco zwiększało skalę potencjalnych szkód.

Analiza techniczna

Źródłem problemu jest niewłaściwa kontrola dostępu w interfejsach FortiClient EMS. Specjalnie przygotowane żądania HTTP kierowane do określonych endpointów aplikacji mogą zostać obsłużone tak, jakby pochodziły od legalnie uwierzytelnionego administratora.

Skutkiem jest możliwość pominięcia mechanizmów uwierzytelniania i wykonywania operacji administracyjnych bez posiadania prawidłowych poświadczeń. W zależności od scenariusza atakujący może uruchamiać polecenia lub kod na poziomie serwera EMS, a następnie wykorzystywać natywne funkcje zarządzania do dalszej aktywności w środowisku.

W opisywanej kampanii serwer EMS miał służyć do dystrybucji fałszywej poprawki Fortinet uruchamianej przez PowerShell. Finalnym ładunkiem był EKZ Infostealer, którego zadaniem była kradzież danych uwierzytelniających zapisanych w przeglądarkach, między innymi w Chrome i Firefox, a następnie ich zapis lokalny i eksfiltracja przez HTTP.

Technicznie jest to szczególnie groźne połączenie dwóch elementów: kompromitacji centralnego systemu zarządzania oraz użycia zaufanej infrastruktury do wdrażania malware na wielu hostach jednocześnie. Atak nie wymaga więc osobnej kompromitacji każdej stacji roboczej, ponieważ przejęte funkcje EMS mogą stać się narzędziem masowej dystrybucji złośliwego oprogramowania.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem podatności jest centralizacja ryzyka. Jedna luka w systemie zarządzania endpointami może przełożyć się na jednoczesne narażenie całej populacji urządzeń podłączonych do EMS, co otwiera drogę do wdrożenia infostealera, backdoora, a nawet ransomware na dużą skalę.

Istotnym zagrożeniem pozostaje także kradzież poświadczeń użytkowników i administratorów. Dane uwierzytelniające przejęte z przeglądarek mogą zostać później wykorzystane do dalszych ataków na pocztę, sieci VPN, usługi SaaS, środowiska chmurowe oraz panele administracyjne.

Dla organizacji regulowanych oznacza to również ryzyko naruszenia poufności danych, przestojów operacyjnych, kosztów reagowania incydentowego i potencjalnych obowiązków notyfikacyjnych. Jeśli EMS działa w segmencie o szerokiej łączności i wysokich uprawnieniach, wpływ incydentu może być szczególnie dotkliwy.

Rekomendacje

Najważniejszym krokiem jest natychmiastowe wdrożenie poprawek lub hotfixów dostarczonych przez producenta dla podatnych wersji FortiClient EMS. Organizacje korzystające z wersji 7.4.5 i 7.4.6 powinny traktować aktualizację jako działanie awaryjne.

Równolegle należy przeprowadzić aktywne polowanie na oznaki kompromitacji. Warto przeanalizować logi HTTP i logi aplikacyjne EMS pod kątem nietypowych żądań do endpointów administracyjnych, nieautoryzowanych zmian konfiguracji, niestandardowych zadań PowerShell oraz nagłych akcji dystrybucji aktualizacji do wielu hostów.

Po stronie endpointów zalecane jest sprawdzenie artefaktów mogących wskazywać na obecność infostealera, w tym podejrzanych uruchomień PowerShell, plików wykonywalnych podszywających się pod poprawki, nowych logów zawierających dane uwierzytelniające oraz nietypowego ruchu HTTP po wdrożeniu aktualizacji. W środowiskach podwyższonego ryzyka zasadne może być również wymuszenie resetu haseł użytkowników, których urządzenia mogły zostać objęte kampanią.

Dodatkowo warto ograniczyć powierzchnię ataku poprzez segmentację serwera EMS, zawężenie dostępu administracyjnego do zaufanych sieci, monitorowanie zmian konfiguracji oraz wdrożenie reguł detekcyjnych dla nietypowego użycia mechanizmów zdalnego zarządzania. W przypadku podejrzenia naruszenia bezpieczeństwa należy potraktować wszystkie urządzenia zarządzane przez EMS jako potencjalnie narażone.

Podsumowanie

CVE-2026-35616 pokazuje, jak groźne mogą być podatności w platformach centralnego zarządzania bezpieczeństwem endpointów. W tym przypadku problem nie ogranicza się do zdalnego wykonania kodu na pojedynczym serwerze, lecz obejmuje możliwość przejęcia zaufanego kanału administracyjnego i użycia go do szerokiej dystrybucji malware w organizacji.

Z uwagi na potwierdzone wykorzystanie w atakach, obecność w katalogu KEV oraz powiązanie z kampanią wykorzystującą EKZ Infostealer, luka powinna być traktowana jako zagrożenie najwyższego priorytetu. Szybkie patchowanie, walidacja integralności środowiska i przegląd oznak kompromitacji są w tym przypadku kluczowe.

Źródła

Security Affairs — https://securityaffairs.com/192817/malware/cve-2026-35616-forticlient-ems-flaw-actively-exploited-in-malware-attacks.html
FortiGuard PSIRT: FG-IR-26-099 — https://fortiguard.fortinet.com/psirt/FG-IR-26-099
Arctic Wolf — FortiClient EMS Exploited via CVE-2026-35616 to Deliver EKZ Infostealer Disguised as a Fortinet Patch — https://arcticwolf.com/resources/blog/forticlient-ems-exploited-via-cve-2026-35616-to-deliver-ekz-infostealer-disguised-as-a-fortinet-patch/
NVD — CVE-2026-35616 — https://nvd.nist.gov/vuln/detail/CVE-2026-35616
CISA Known Exploited Vulnerabilities Catalog — https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-35616