Krytyczna luka w FortiClient EMS jest aktywnie wykorzystywana do przejmowania środowisk IT i dystrybucji malware. Atakujący podszywają się pod aktualizacje i w prosty sposób uzyskują dostęp do danych uwierzytelniających.
Cyberprzestępcy ponownie biorą na celownik rozwiązania wykorzystywane w środowiskach korporacyjnych. Tym razem chodzi o podatność w FortiClient Endpoint Management Server (EMS), która umożliwia przejęcie kontroli nad systemem i wykorzystanie go do dystrybucji złośliwego oprogramowania.
Krytyczna podatność i jej konsekwencje
Zgodnie z analizą firmy Arctic Wolf, luka oznaczona jako CVE-2026-35616 otrzymała ocenę CVSS 9.8, co klasyfikuje ją jako podatność krytyczną. Jest to błąd typu SQL Injection, który pozwala nieuwierzytelnionemu użytkownikowi:
- ominąć mechanizmy kontroli dostępu do API,
- uzyskać podwyższone uprawnienia,
- przejąć kontrolę nad serwerem EMS.
W praktyce oznacza to możliwość pełnej kompromitacji systemu zarządzającego endpointami w organizacji.
Scenariusz ataku
Po uzyskaniu dostępu do serwera EMS atakujący nie działają przypadkowo, lecz bardzo świadomie wykorzystują jego funkcjonalność do przeprowadzenia ukierunkowanego ataku na całą infrastrukturę organizacji. W pierwszej kolejności modyfikują polityki bezpieczeństwa endpointów oraz konfigurację Remote Access Profile, co pozwala im przygotować środowisko pod dalsze działania. Następnie wykorzystują serwer EMS jako kanał dystrybucji złośliwego oprogramowania, które trafia bezpośrednio na zarządzane urządzenia w sieci. Co istotne, malware jest maskowany jako legalna aktualizacja Fortinet, dzięki czemu jego obecność nie wzbudza podejrzeń użytkowników ani administratorów.
Kto jest zagrożony
Chociaż poprawka bezpieczeństwa została opublikowana w kwietniu 2026 roku, wiele organizacji nadal pozostaje podatnych na wykorzystanie tej luki. Ryzyko dotyczy przede wszystkim środowisk, które nie zostały zaktualizowane do wersji FortiClient EMS 7.4.7 lub nowszej, a także tych, w których proces zarządzania poprawkami jest opóźniony lub niespójny. Szczególnie narażone są organizacje, które nie monitorują na bieżąco zmian w konfiguracji systemów zarządzających endpointami, ponieważ to właśnie tam atakujący wprowadzają modyfikacje umożliwiające dalsze działania w infrastrukturze.
Rekomendacje dla administratorów
W obliczu aktywnego wykorzystania podatności kluczowe jest szybkie działanie. Organizacje powinny:
- niezwłocznie zaktualizować FortiClient EMS do najnowszej wersji,
- przeanalizować zmiany w politykach endpointów i profilach dostępu,
- sprawdzić, czy nie doszło do nieautoryzowanych modyfikacji,
- zweryfikować logi pod kątem podejrzanych działań.
CVE-2026-35616 to kolejny przykład tego, jak podatność w systemie zarządzającym może stać się punktem wejścia do całej infrastruktury organizacji. W tym przypadku zagrożenie jest szczególnie poważne, ponieważ pozwala nie tylko na przejęcie kontroli, ale również na masową dystrybucję malware w środowisku.
Źródła:
- FortiClient EMS Exploited via CVE-2026-35616 to Deliver EKZ Infostealer Disguised as a Fortinet Patch
- Fortinet PSIRT: API authentication and authorization bypass
O autorze: Łukasz Lein
Product manager - Opiekun marki Symantec
Od blisko 10 lat w firmie Arkanet. Bacznie śledzi ruchy cyberprzestępczości w Polsce i na świecie, dzięki czemu wie, jak pomóc klientom zabezpieczyć swoją sieć firmową przed wszelkimi atakami. Z zamiłowania, po pracy, aktywny "piłkokopacz".
