FortiClient EMS-Exploit verteilt Infostealer als Fortinet-Patch

Foto des Autors

CyberSecureFox Editorial Team

Die kritische Schwachstelle CVE-2026-35616 in FortiClient Endpoint Management Server (EMS) wird aktiv von Angreifern ausgenutzt, um über legitime Mechanismen für das Endpoint-Management massenhaft schadvolle Software zum Diebstahl von Anmeldeinformationen auszuliefern. Nach Angaben des Unternehmens Arctic Wolf, das die Kampagne im Mai 2026 entdeckt hat, tarnen die Angreifer die Payload als Fortinet-Update und verteilen sie mithilfe des regulären EMS-Workflows auf alle verwalteten Geräte. Organisationen, die FortiClient EMS in Versionen unter 7.4.7 einsetzen, müssen das System umgehend aktualisieren und eine Überprüfung auf Kompromittierung durchführen.

Schwachstelle und Exploit-Mechanismus

Die Schwachstelle CVE-2026-35616 stellt einen Umgehungsmechanismus der Authentifizierung auf API-Ebene dar, der es einem nicht autorisierten Angreifer ermöglicht, ohne vorherige Authentifizierung privilegierten Zugriff auf die EMS-Funktionalität zu erhalten. Berichten zufolge wurde die Schwachstelle mit einem CVSS-Score von 9.1 bewertet, was einem kritischen Schweregrad entspricht. Ein Fix ist in FortiClient EMS Version 7.4.7 und höher verfügbar.

Die zentrale Gefahr dieser Schwachstelle liegt in der Art der betroffenen Komponente. EMS ist ein zentrales System zur Verwaltung der FortiClient-Agenten auf Endpunkten. Erlangen Angreifer privilegierten Zugriff auf EMS, verfügen sie de facto über einen Verteilungskanal für beliebigen Code auf alle verwalteten Geräte, ohne jedes einzelne System separat kompromittieren zu müssen.

Angriffskette

Dem Bericht von Arctic Wolf zufolge führen die Angreifer nach erfolgreicher Ausnutzung der Schwachstelle eine Abfolge von Schritten aus, die legitime administrative Vorgänge imitieren:

  1. Modifikation der EMS-Konfiguration: Die Angreifer deaktivieren Firmware-Update-Erinnerungen, um die Entdeckungswahrscheinlichkeit zu verringern, und verändern das Remote-Access-Profil sowie die Endpoint-Richtlinie, um ein bösartiges Skript einzuschleusen.
  2. Auslieferung über den Management-Kanal: Schädliche PowerShell-Befehle werden über den regulären FortiClient-Managementmechanismus an die verwalteten Endpunkte übermittelt, wodurch sie optisch nicht von legitimen administrativen Aktionen zu unterscheiden sind.
  3. Ausführung über einen legitimen Prozess: Zur Ausführung des Schadcodes wird fortitray.exe verwendet – eine legitime FortiClient-Executable, die ein Command-Skript (.cmd) über cmd.exe startet.
  4. Download der Payload: Das Command-Skript ruft ein in Base64 codiertes PowerShell-Skript auf, das eine schädliche Executable herunterlädt und ausführt.
  5. Datenexfiltration: Die Ergebnisse der Arbeit des Stealers werden per HTTP POST an einen Command-and-Control-Server übertragen.

Diese Angriffsarchitektur verdient besondere Aufmerksamkeit: Die Angreifer haben die Funktionen bewusst auf mehrere Komponenten verteilt. Der eigentliche Stealer (FortiEndpoint_Patch.exe) enthält keine Netzwerkfunktionen zur Exfiltration – er sammelt lediglich Daten und speichert sie lokal im Verzeichnis ProgramData. Die Übertragung der gestohlenen Daten übernimmt ein separates PowerShell-Skript. Diese Aufteilung erschwert die Erkennung: Bei der Analyse der Executable selbst lässt sich keine Netzaktivität feststellen.

Fähigkeiten des Infostealers

Die schädliche Datei FortiEndpoint_Patch.exe, die als Fortinet-Update getarnt ist, ist laut Arctic Wolf ein bislang nicht dokumentierter Infostealer für Windows. Sein Funktionsumfang umfasst:

  • Extraktion gespeicherter Passwörter aus Browsern auf Basis von Chromium und Gecko
  • Diebstahl von Session-Cookies
  • Erfassung von Autofill-Daten: Kreditkartennummern, Adressen, Telefonnummern

Gestohlene Session-Cookies und in Browsern gespeicherte Anmeldeinformationen können Angreifern nach Einschätzung der Forscher Zugang zu Cloud-Diensten, internen Anwendungen und anderen durch Authentifizierung geschützten Ressourcen verschaffen – einschließlich Fällen, in denen die Wiederverwendung einer Sitzung eine Umgehung von Multi-Faktor-Authentifizierung ermöglicht.

Indikatoren einer Kompromittierung

Auf Basis der veröffentlichten Daten ist derzeit folgender netzwerkbezogener Indikator bekannt:

  • IP-Adresse des Command-and-Control-Servers: 83.138.53[.]110 (HTTP POST zur Datenexfiltration)

Auswirkungsbewertung

Dieser Angriff stellt aus mehreren Gründen eine erhöhte Bedrohung dar. Erstens wird FortiClient EMS in Unternehmensumgebungen weit verbreitet für das zentrale Endpoint-Sicherheitsmanagement eingesetzt. Die Kompromittierung des EMS-Servers macht jedes verwaltete Gerät zu einem potenziellen Ziel, ohne dass ein eigener Angriffsvektor pro Endpunkt erforderlich ist. Zweitens erschwert die Nutzung legitimer Fortinet-Managementkanäle und -prozesse die Erkennung durch Monitoring-Lösungen erheblich, die auf Vertrauen in die Management-Infrastruktur ausgelegt sind. Drittens führt der Diebstahl von Session-Cookies zu einem Risiko kaskadierender Kompromittierungen: Angreifer können Zugriff auf Cloud-Dienste und interne Anwendungen erlangen und dabei MFA umgehen.

Es ist zu berücksichtigen, dass die Informationen zur aktiven Ausnutzung auf Daten einer einzelnen Forschungsquelle basieren. Zum Zeitpunkt der Veröffentlichung ist die Schwachstelle nicht im CISA-KEV-Katalog aufgeführt, und ein offizielles Fortinet-Sicherheitsbulletin zu dieser CVE ist in den bereitgestellten Materialien nicht enthalten.

Empfehlungen für die Reaktion

  • Sofortiges Update: Installieren Sie FortiClient EMS in Version 7.4.7 oder höher. Dadurch wird die API-Authentifizierungs-Bypass-Schwachstelle behoben.
  • Audit der EMS-Konfiguration: Überprüfen Sie Remote-Access-Profile, Endpoint-Richtlinien und Firmware-Update-Einstellungen auf unautorisierte Änderungen.
  • Überprüfung der Endpunkte: Suchen Sie auf verwalteten Geräten nach der Datei FortiEndpoint_Patch.exe und nach verdächtigen Dateien im Verzeichnis ProgramData.
  • Überwachung des Netzwerkverkehrs: Prüfen Sie Logdaten auf HTTP-POST-Anfragen an die Adresse 83.138.53[.]110.
  • Analyse der PowerShell-Aktivität: Kontrollieren Sie die PowerShell-Ausführungsprotokolle auf verwalteten Endpunkten auf in Base64 codierte Befehle, die über fortitray.exe oder cmd.exe initiiert wurden.
  • Rotation von Anmeldeinformationen: Bei Anzeichen einer Kompromittierung erzwingen Sie für alle Benutzer der betroffenen Endpunkte eine Passwortänderung und die Ungültigmachung von Sitzungen, einschließlich Zugriffstoken für Cloud-Dienste.
  • Segmentierung des Zugriffs auf EMS: Beschränken Sie den Netzwerkzugang zur FortiClient-EMS-API, indem Sie Verbindungen nur von vertrauenswürdigen administrativen Adressen zulassen.

Organisationen, die FortiClient EMS betreiben, sollten das Update auf Version 7.4.7 als Priorität erster Ordnung betrachten. Auch wenn keine Anzeichen einer Kompromittierung vorliegen, wird empfohlen, ein Audit der EMS-Serverkonfiguration durchzuführen und die PowerShell-Protokolle auf verwalteten Endpunkten für den Zeitraum seit Mai 2026 zu prüfen, mit besonderem Augenmerk auf Aktivitäten, die über fortitray.exe initiiert wurden.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen