Kihasznált FortiClient EMS patch
Az FortiClient EMS kritikus, aktívan kihasznált sérülékenységét (CVE-2026-35616) támadók arra használták, hogy hamis Fortinet-frissítésnek álcázott EKZ Infostealer malware-t telepítsenek menedzselt végpontokra. A sérülékenység improper access control hibából ered, amely lehetővé teszi hitelesítés nélküli távoli kódfuttatást crafted API-kérésekkel.
Az Arctic Wolf szerint a támadók az EMS saját menedzsment infrastruktúráját használják ki, a FortiClient VPN scripting/workflow mechanizmusán keresztül PowerShell-parancsokat pusholtak a kezelt hostokra, így az EMS gyakorlatilag malware-terítő platformmá vált.
A telepített payload, az EKZ Infostealer, Chrome- és Firefox-hitelesítő adatok gyűjtésére specializálódott. A malware képes Chrome credential storage bypass technikák alkalmazására, az ellopott adatokat lokális logfájlba gyűjti, majd HTTP-n keresztül exfiltrálja.
A sérülékenységet már 2026 március végétől zero-dayként kihasználták. Az érintett verziók a FortiClient EMS 7.4.5–7.4.6. A Fortinet sürgősségi hotfixet adott ki, a végleges javítás a 7.4.7 verzióban érkezik.
