Злоупотреба с FortiClient EMS превръща управлението на крайни устройства в канал за разпространение на malware

Обзор

Нова кампания срещу FortiClient Endpoint Management Server (EMS) показва как доверена административна инфраструктура може да бъде използвана за разпространение на зловреден софтуер.

Активността е свързана с CVE-2026-35616, уязвимост в контрола на достъпа във FortiClient EMS, която позволява на неавтентикиран нападател да изпраща неразрешени заявки и да изпълнява код или команди в засегнатите системи. Fortinet потвърждава, че уязвимостта се използва в реални атаки, и публикува hotfix корекции за уязвимите версии 7.4.5 и 7.4.6.

Според Arctic Wolf атакуващите са използвали компрометиран достъп до EMS, за да променят настройките на FortiClient и незабелязано да разпространят нов инструмент за кражба на идентификационни данни, проследяван като EKZ Infostealer, към управлявани крайни устройства.

Какво се случва

FortiClient EMS се използва за централизирано управление на настройки, политики за сигурност и профили за отдалечен достъп на корпоративни устройства. В тази кампания атакуващите злоупотребяват именно с тази доверена позиция след достъп през CVE-2026-35616.

Наблюдаваната верига включва:

• заобикаляне на автентикацията към EMS API
• промяна на профили за отдалечен достъп и политики за крайни устройства
• добавяне на злонамерени скриптове при свързване
• изпълнение на скриптовете чрез поведението на FortiClient VPN
• изтегляне и стартиране на фалшива корекция, наречена FortiEndpoint_Patch.exe

Този файл не е легитимна актуализация от Fortinet. Той е зловреден софтуер за кражба на чувствителни данни, идентифициран от Arctic Wolf като EKZ Infostealer.

Как работи атаката

Атакуващите използват легитимна функционалност на FortiClient EMS, предназначена за изпълнение на скриптове при установяване на VPN връзка.

Когато управлявано крайно устройство се свърже през IPsec тунел, процеси на FortiClient като fortitray.exe или ipsec.exe стартират командни файлове от стандартна директория за логове на FortiClient. Тези файлове изпълняват PowerShell команда, изтеглят зловредния файл и изпращат резултат към инфраструктура, контролирана от нападателите.

Докладваната верига от процеси е:

fortitray.exe / ipsec.exe → cmd.exe → powershell.exe → FortiEndpoint_Patch.exe

Това е важно, защото злонамереното действие идва от доверен управленски процес. В средата то може да изглежда като нормална административна активност, ако липсват детайлно наблюдение на процесите и контрол върху конфигурациите.

Какво краде EKZ Infostealer

EKZ Infostealer е насочен към данни от браузъри и активни сесии на засегнатите Windows устройства.

Според техническите анализи зловредният софтуер търси:

• запазени пароли в браузъри
• сесийни бисквитки
• автоматично попълвани данни
• данни за банкови карти, съхранявани в браузъри
• информация от браузъри като Chrome и Edge
• информация от Firefox, LibreWolf и Thunderbird

Сесийните бисквитки са особено опасни, защото могат да позволят превземане на акаунт дори при активирана многофакторна автентикация. Ако нападателят получи валидна сесия, услугата може вече да възприема достъпа като автентикиран.

Защо това има значение

Тази кампания е важна, защото превръща платформа за управление на крайни устройства в механизъм за разпространение.

Рискът не е ограничен до едно компрометирано устройство. При злоупотреба с EMS атакуващите могат потенциално да достигнат много управлявани устройства едновременно.

За корпоративни среди това създава няколко риска:

• масово разпространение на зловреден софтуер
• кражба на идентификационни данни от управлявани устройства
• превземане на активни сесии
• неразрешени промени в политики
• поддържане на достъп чрез доверени административни инструменти
• по-трудно откриване, ако активността се приеме за нормално управление

Затова експозицията на FortiClient EMS трябва да се третира като високоприоритетен риск, а не като рутинно обновяване.

Препоръчителни действия

Организациите, които използват FortiClient EMS, трябва незабавно да проверят експозицията си и да приложат наличните корекции от Fortinet. Според Fortinet версия 7.4.7 трябва да включва пълната корекция, а за уязвимите инсталации 7.4.5 и 7.4.6 са налични hotfix корекции.

Приоритетни действия:

• прилагане на съответния Fortinet hotfix или обновяване веднага щом е налична коригирана версия
• ограничаване на достъпа до EMS управлението само до доверени IP адреси
• преглед на профилите за отдалечен достъп за неразрешени скриптове
• проверка на VPN скриптове и политики за крайни устройства
• търсене на подозрителни командни файлове в директориите за скриптове на FortiClient
• наблюдение за необичайни вериги от процеси с fortitray.exe, ipsec.exe, cmd.exe и powershell.exe
• смяна на пароли и прекратяване на активни сесии на засегнати устройства при съмнение за компромис

DIAMATIX перспектива

Този случай показва защо платформите за управление трябва да се разглеждат като критична инфраструктура.

Инструментите за управление на крайни устройства са доверени по подразбиране. Те могат да прилагат политики, да изпълняват скриптове, да променят настройки и да взаимодействат с голям брой устройства. Когато атакуващите получат контрол върху такава система, управленският слой сам се превръща в механизъм за разпространение.

Основният извод не е само да се приложи корекцията. Важно е да се провери дали доверени административни процеси вече не са били използвани.

Откриването трябва да включва:

• наблюдение на промени в конфигурацията
• преглед на административни действия
• съпоставяне на вериги от процеси по крайните устройства
• откриване на злоупотреба със сесии и идентификационни данни
• видимост върху поведението на управляваните устройства

Доверената инфраструктура се нуждае от същото непрекъснато наблюдение като публично достъпните приложения.

CISO анализ

От гледна точка на CISO това е риск в слоя за управление и контрол, а не само инцидент със зловреден софтуер на крайно устройство.

Ключовите въпроси са:

• Достъпен ли е FortiClient EMS от интернет или от твърде широки мрежови сегменти?
• Кой може да променя политики за крайни устройства и профили за отдалечен достъп?
• Логват ли се и преглеждат ли се промените във VPN скриптове?
• Може ли SOC екипът да открие изпълнение на код, стартирано от инструмент за управление?
• Третират ли се браузърните пароли и сесийните бисквитки като високорискови активи при реакция на инцидент?

Кампанията потвърждава нуждата от разделяне на административния достъп, ограничаване на интерфейсите за управление и наблюдение на инструменти, които могат да предизвикат промени в голям брой устройства.

Какво означава това за вашата среда

• Този тип атака разчита на злоупотреба с доверена платформа за управление на крайни устройства, а не на директно разпространение на malware към всяка машина.
• Откриването зависи от видимост върху промени в EMS конфигурацията, изпълнение на скриптове от управленския слой и необичайни вериги от процеси по крайните устройства.
• Реакцията изисква прилагане на корекции, преглед на конфигурацията, смяна на идентификационни данни и проверка дали управляваните устройства вече не са били изложени на риск.

Може ли вашата среда да засече разпространение на злонамерен скрипт през доверена платформа за управление на крайни устройства?

Имате ли видимост върху активност по крайните устройства, стартирана от административни инструменти?

Виж как подобни злоупотреби с управленския слой се анализират и обработват в реална оперативна среда.

Свържете се с DIAMATIX
Trusted · Innovative · Vigilant

Източници

• Fortinet PSIRT. CVE-2026-35616 advisory.
• NVD. CVE-2026-35616 record.
• Arctic Wolf. FortiClient EMS exploitation and EKZ Infostealer analysis.
• watchTowr Labs. FortiClient EMS exploitation observations.

Статията е базирана на публично достъпна техническа и threat intelligence информация към май 2026 г.