Критична вразливість CVE-2026-35616 у FortiClient Endpoint Management Server (EMS) активно експлуатується зловмисниками для масової доставки шкідливого ПЗ, що викрадає облікові дані, через легітимні механізми керування кінцевими точками. За даними компанії Arctic Wolf, яка виявила кампанію в травні 2026 року, атакувальники маскують корисне навантаження під оновлення Fortinet і поширюють його на всі керовані пристрої, використовуючи штатний робочий процес EMS. Організаціям, що використовують FortiClient EMS версій нижче 7.4.7, необхідно негайно оновити систему та провести перевірку на предмет компрометації.
Вразливість і механізм експлуатації
Вразливість CVE-2026-35616 являє собою обхід автентифікації на рівні API, який дає змогу неавторизованому зловмиснику отримати привілейований доступ до функціональності EMS без попередньої автентифікації. Як повідомляється, вразливість отримала оцінку CVSS 9.1, що відповідає критичному рівню серйозності. Виправлення доступне у FortiClient EMS версії 7.4.7 і вище.
Ключова небезпека цієї вразливості полягає в характері компонента, що експлуатується. EMS — це централізована система керування агентами FortiClient на кінцевих точках. Отримавши привілейований доступ до EMS, зловмисники фактично здобувають канал доставки довільного коду на усі керовані пристрої без потреби в окремому проникненні на кожен із них.
Ланцюжок атаки
Згідно зі звітом Arctic Wolf, після успішної експлуатації вразливості зловмисники виконують послідовність дій, що імітують легітимні адміністративні операції:
- Модифікація конфігурації EMS: атакувальники вимикають нагадування про оновлення прошивки, щоб знизити імовірність виявлення, і змінюють профіль віддаленого доступу та політику кінцевих точок для впровадження шкідливого скрипта.
- Доставка через керувальний канал: шкідливі команди PowerShell передаються на керовані кінцеві точки через штатний механізм керування FortiClient, що робить їх візуально не відмінними від легітимних адміністративних операцій.
- Запуск через легітимний процес: для виконання шкідливого коду використовується fortitray.exe — легітимний виконуваний файл FortiClient, який запускає командний скрипт (.cmd) через cmd.exe.
- Завантаження корисного навантаження: командний скрипт викликає закодований у Base64 скрипт PowerShell, який завантажує та запускає шкідливий виконуваний файл.
- Ексфільтрація даних: результати роботи стілера передаються на сервер керування через HTTP POST.
Така архітектура атаки заслуговує на особливу увагу: зловмисники навмисно розділили функції між компонентами. Сам стілер (FortiEndpoint_Patch.exe) не містить мережевих функцій ексфільтрації — він лише збирає дані та зберігає їх локально в директорію ProgramData. Передачу викрадених даних виконує окремий скрипт PowerShell. Таке розділення ускладнює виявлення: аналіз самого виконуваного файла не покаже жодної мережевої активності.
Можливості інфостілера
Шкідливий файл FortiEndpoint_Patch.exe, замаскований під оновлення Fortinet, за даними Arctic Wolf є раніше не описаним інфостілером для Windows. Його функціональність включає:
- витяг збережених паролів із браузерів на основі Chromium і Gecko
- викрадення файлов cookie сеансів
- збирання даних автозаповнення: номери банківських карток, адреси, номери телефонів
Викрадені сесійні cookie та збережені облікові дані браузерів, як зазначають дослідники, можуть забезпечити зловмисникам доступ до хмарних сервісів, внутрішніх застосунків та інших ресурсів, захищених автентифікацією, включно з випадками, коли повторне використання сеансу дає змогу обійти багатофакторну автентифікацію.
Індикатори компрометації
На підставі опублікованих даних відомий такий мережевий індикатор:
- IP-адреса сервера керування: 83.138.53[.]110 (HTTP POST для ексфільтрації даних)
Оцінка впливу
Ця атака становить підвищену загрозу з кількох причин. По-перше, FortiClient EMS широко використовується в корпоративних середовищах для централізованого керування безпекою кінцевих точок. Компрометація сервера EMS перетворює кожен керований пристрій на потенційну ціль без необхідності в окремому векторі проникнення. По-друге, використання легітимних керувальних каналів і процесів Fortinet суттєво ускладнює виявлення засобами моніторингу, налаштованими на довіру до інфраструктури керування. По-третє, викрадення сесійних cookie створює ризик каскадної компрометації: зловмисники можуть отримати доступ до хмарних сервісів та внутрішніх застосунків, оминаючи MFA.
Потрібно враховувати, що інформація про активну експлуатацію ґрунтується на даних одного дослідницького джерела. На момент публікації вразливість не внесена до каталогу CISA KEV, а офіційний бюлетень безпеки Fortinet щодо цієї CVE в наданих матеріалах не фігурує.
Рекомендації щодо реагування
- Негайне оновлення: встановіть FortiClient EMS версії 7.4.7 або вище. Це усуває вразливість обходу автентифікації API.
- Аудит конфігурації EMS: перевірте профілі віддаленого доступу, політики кінцевих точок і налаштування оновлення прошивки на предмет несанкціонованих змін.
- Перевірка кінцевих точок: виконайте пошук файла FortiEndpoint_Patch.exe та підозрілих файлів у директорії ProgramData на керованих пристроях.
- Моніторинг мережевого трафіку: перевірте журнали на наявність HTTP POST-запитів до адреси 83.138.53[.]110.
- Аналіз активності PowerShell: перевірте журнали виконання PowerShell на керованих кінцевих точках на предмет закодованих у Base64 команд, ініційованих через fortitray.exe або cmd.exe.
- Ротація облікових даних: у разі виявлення ознак компрометації — примусова зміна паролів та інвалідування сеансів для всіх користувачів уражених кінцевих точок, включно з токенами доступу до хмарних сервісів.
- Сегментація доступу до EMS: обмежте мережевий доступ до API FortiClient EMS, дозволивши підключення лише з довірених адміністративних адрес.
Організаціям, які використовують FortiClient EMS, слід розглядати оновлення до версії 7.4.7 як пріоритет першого порядку. Навіть за відсутності ознак компрометації рекомендується провести аудит конфігурації сервера EMS і перевірити журнали PowerShell на керованих кінцевих точках за період із травня 2026 року, приділивши особливу увагу активності, ініційованій через fortitray.exe.
