Критическая уязвимость CVE-2026-35616 в FortiClient Endpoint Management Server (EMS) активно эксплуатируется злоумышленниками для массовой доставки вредоносного ПО, крадущего учётные данные, через легитимные механизмы управления конечными точками. По данным компании Arctic Wolf, обнаружившей кампанию в мае 2026 года, атакующие маскируют полезную нагрузку под обновление Fortinet и распространяют её на все управляемые устройства, используя штатный рабочий процесс EMS. Организациям, использующим FortiClient EMS версий ниже 7.4.7, необходимо немедленно обновить систему и провести проверку на компрометацию.
Уязвимость и механизм эксплуатации
Уязвимость CVE-2026-35616 представляет собой обход аутентификации на уровне API, позволяющий неавторизованному злоумышленнику получить привилегированный доступ к функциональности EMS без предварительной аутентификации. Как сообщается, уязвимость получила оценку CVSS 9.1, что соответствует критическому уровню серьёзности. Исправление доступно в FortiClient EMS версии 7.4.7 и выше.
Ключевая опасность этой уязвимости заключается в характере эксплуатируемого компонента. EMS — это централизованная система управления агентами FortiClient на конечных точках. Получив привилегированный доступ к EMS, атакующие фактически получают канал доставки произвольного кода на все управляемые устройства без необходимости отдельного проникновения на каждое из них.
Цепочка атаки
Согласно отчёту Arctic Wolf, после успешной эксплуатации уязвимости злоумышленники выполняют последовательность действий, имитирующих легитимные административные операции:
- Модификация конфигурации EMS: атакующие отключают напоминания об обновлении прошивки, чтобы снизить вероятность обнаружения, и изменяют профиль удалённого доступа и политику конечных точек для внедрения вредоносного скрипта.
- Доставка через управляющий канал: вредоносные команды PowerShell передаются на управляемые конечные точки через штатный механизм управления FortiClient, что делает их визуально неотличимыми от легитимных административных операций.
- Запуск через легитимный процесс: для выполнения вредоносного кода используется fortitray.exe — легитимный исполняемый файл FortiClient, который запускает командный скрипт (.cmd) через cmd.exe.
- Загрузка полезной нагрузки: командный скрипт вызывает закодированный в Base64 скрипт PowerShell, который загружает и запускает вредоносный исполняемый файл.
- Эксфильтрация данных: результаты работы стилера передаются на сервер управления по HTTP POST.
Такая архитектура атаки заслуживает особого внимания: злоумышленники намеренно разделили функции между компонентами. Сам стилер (FortiEndpoint_Patch.exe) не содержит сетевых функций эксфильтрации — он лишь собирает данные и сохраняет их локально в директорию ProgramData. Передачу украденных данных выполняет отдельный скрипт PowerShell. Такое разделение усложняет обнаружение: анализ самого исполняемого файла не выявит сетевой активности.
Возможности инфостилера
Вредоносный файл FortiEndpoint_Patch.exe, замаскированный под обновление Fortinet, по данным Arctic Wolf, является ранее не описанным инфостилером для Windows. Его функциональность включает:
- Извлечение сохранённых паролей из браузеров на основе Chromium и Gecko
- Кражу файлов cookie сессий
- Сбор данных автозаполнения: номера банковских карт, адреса, телефонные номера
Украденные сессионные cookie и сохранённые учётные данные браузеров, как отмечают исследователи, могут обеспечить злоумышленникам доступ к облачным сервисам, внутренним приложениям и другим ресурсам, защищённым аутентификацией, включая случаи, когда повторное использование сессии позволяет обойти многофакторную аутентификацию.
Индикаторы компрометации
На основании опубликованных данных известен следующий сетевой индикатор:
- IP-адрес сервера управления: 83.138.53[.]110 (HTTP POST для эксфильтрации данных)
Оценка воздействия
Данная атака представляет повышенную угрозу по нескольким причинам. Во-первых, FortiClient EMS широко используется в корпоративных средах для централизованного управления безопасностью конечных точек. Компрометация EMS-сервера превращает каждое управляемое устройство в потенциальную цель без необходимости отдельного вектора проникновения. Во-вторых, использование легитимных управляющих каналов и процессов Fortinet существенно затрудняет обнаружение средствами мониторинга, настроенными на доверие к инфраструктуре управления. В-третьих, кража сессионных cookie создаёт риск каскадной компрометации: злоумышленники могут получить доступ к облачным сервисам и внутренним приложениям, минуя MFA.
Следует учитывать, что информация об активной эксплуатации основана на данных одного исследовательского источника. На момент публикации уязвимость не внесена в каталог CISA KEV, а официальный бюллетень безопасности Fortinet по данной CVE в предоставленных материалах не фигурирует.
Рекомендации по реагированию
- Немедленное обновление: установите FortiClient EMS версии 7.4.7 или выше. Это устраняет уязвимость обхода аутентификации API.
- Аудит конфигурации EMS: проверьте профили удалённого доступа, политики конечных точек и настройки обновления прошивки на предмет несанкционированных изменений.
- Проверка конечных точек: выполните поиск файла FortiEndpoint_Patch.exe и подозрительных файлов в директории ProgramData на управляемых устройствах.
- Мониторинг сетевого трафика: проверьте журналы на наличие HTTP POST-запросов к адресу 83.138.53[.]110.
- Анализ PowerShell-активности: проверьте журналы выполнения PowerShell на управляемых конечных точках на предмет закодированных в Base64 команд, инициированных через fortitray.exe или cmd.exe.
- Ротация учётных данных: при обнаружении признаков компрометации — принудительная смена паролей и инвалидация сессий для всех пользователей затронутых конечных точек, включая токены доступа к облачным сервисам.
- Сегментация доступа к EMS: ограничьте сетевой доступ к API FortiClient EMS, разрешив подключения только с доверенных административных адресов.
Организациям, эксплуатирующим FortiClient EMS, следует рассматривать обновление до версии 7.4.7 как приоритет первого порядка. Даже при отсутствии признаков компрометации рекомендуется провести аудит конфигурации EMS-сервера и проверить журналы PowerShell на управляемых конечных точках за период с мая 2026 года, уделив особое внимание активности, инициированной через fortitray.exe.
