FortiClient EMS: attacchi attivi con CVE-2026-35616
Sfruttata in rete la vulnerabilità critica CVE-2026-35616 su FortiClient EMS. Gli attaccanti trasformano l'infrastruttura di gestione in sistema di distribuzio…
Contenuto
Il 27 maggio 2026, Arctic Wolf ha pubblicato l'analisi di una campagna attiva che sfrutta la vulnerabilità critica CVE-2026-35616 in FortiClient Endpoint Management System per compromettere interi flussi aziendali da un'unica istanza di gestione. La scadenza imposta da CISA per l'applicazione delle patch è già scaduta il 9 aprile: chi non ha aggiornato si espone a un rischio concreto e documentato.
- CVE-2026-35616 ha punteggio CVSS 9.1 e permette accesso API non autenticato su FortiClient EMS 7.4.5-7.4.6
- Gli attaccanti modificano i profili di accesso remoto per iniettare script VPN on_connect eseguiti dal processo legittimo fortitray.exe
- Il payload EKZ Infostealer, mascherato da aggiornamento Fortinet, ruba credenziali Chromium tramite interfaccia IElevator COM
- CISA ha inserito la vulnerabilità nel catalogo KEV il 6 aprile 2026 con scadenza al 9 aprile: il ritardo di patch equivale a esposizione attiva
Come funziona l'attacco: dall'API esposta all'esecuzione distribuita
La falla è classificata CWE-284, improper access control. Secondo la ricerca di Arctic Wolf, quando richieste HTTP appositamente costruite raggiungono determinati endpoint di FortiClient EMS senza credenziali valide, il sistema le elabora come azioni amministrative legittime. Nelle tracce di exploit osservate in laboratorio e in campo, la linea di log riportava "Certificate user: fortinet-ca2", indicando che la richiesta veniva processata con privilegi elevati.
Da questo punto, gli attaccanti hanno modificato il Remote Access Profile e le policy endpoint per iniettare script on_connect nelle configurazioni VPN. Il processo fortitray.exe — legittimo componente di FortiClient — ha poi eseguito script .cmd con nome in formato GUID dalla directory C:\Program Files\Fortinet\FortiClient\logs\Trace\scripts\. Questi script contenevano PowerShell in base64 che scaricava il payload e avviava l'esfiltrazione.
Il payload, un binario Windows compilato con MinGW, è stato distribuito con il nome FortiEndpoint_Patch.exe. Sulla stessa infrastruttura di comando sono stati rilevati anche file aggiuntivi con nomi che imitano aggiornamenti ufficiali: FortiEndpoint_Patch.2.4.9.zip e .msi. Il server di distribuzione e raccolta dati è ospitato all'indirizzo 83.138.53[.]110.
"The campaign abused trusted endpoint management infrastructure to deliver malware across managed endpoints" — Arctic Wolf via The Hacker News
EKZ Infostealer: tecniche di cattura credenziali e analisi del campione
Una volta eseguito, il malware copia se stesso nella directory Application\ del browser target e invoca l'interfaccia COM IElevator::DecryptData per ottenere la chiave master AES-256 in formato v20 utilizzata da Chromium. Con questa chiave, EKZ decripta i database SQLite di Chrome, Edge e Firefox, estraendo credenziali salvate.
Prima dell'esfiltrazione, lo script PowerShell introduce una pausa di circa 90 secondi, probabilmente per eludere sandbox o analisi comportamentali automatiche. I dati vengono poi trasmessi via HTTP POST al server controllato dall'attaccante. Il campione analizzato ha hash SHA-256 0da123adf9251957a4b850a3f6bd6a753dd4892be176a84a18450e899534cc5e.
Dagli indicatori di compromissione raccolti, i nodi di ingresso iniziali dell'attacco includono indirizzi Tor: 185[.]220.101.15 e 192[.]42.116.14. Arctic Wolf ha riprodotto la catena d'attacco in laboratorio, confermando la funzionalità end-to-end dell'exploit.
La trappola della fiducia: perché la rilevazione fallisce
Quello che rende questa campagna particolarmente insidiosa non è solo la criticità della vulnerabilità, ma l'abuso di canali considerati affidabili dall'organizzazione bersaglio. Le operazioni di gestione endpoint e aggiornamento VPN sono routine quotidiana: i team di sicurezza le autorizzano per definizione. Quando l'attaccante si insedia sull'EMS server e utilizza gli stessi meccanismi per distribuire codice malevolo, l'attività malevola si confonde con quella legittima fino al momento dell'esfiltrazione effettiva.
Come ha osservato Arctic Wolf, "ogni endpoint gestito è diventato un potenziale bersaglio di esecuzione senza richiedere un percorso di intrusione separato per ogni dispositivo". Questo cambia radicalmente il calcolo del rischio: non si tratta di compromettere endpoint uno per uno, ma di trasformare l'infrastruttura di gestione stessa in un sistema di distribuzione centralizzato di malware.
Cosa fare adesso
Fortinet ha rilasciato le correzioni in FortiClient EMS 7.4.7 e hotfix per le versioni 7.4.5 e 7.4.6 già in aprile 2026. L'urgenza è determinata dalla scadenza CISA già superata e dalla conferma di Arctic Wolf di campagne attive a maggio. Le priorità operative derivano direttamente dalle fonti tecniche disponibili:
1. Verifica della versione EMS e applicazione patch
Controllare se l'istanza FortiClient EMS in uso rientra nelle versioni 7.4.5-7.4.6. Se sì, aggiornare a 7.4.7 o applicare l'hotfix corrispondente. La conferma di CISA e Fortinet rende questo passaggio non differibile.
2. Ricerca indicatori di compromissione nel percorso script
Ispezionare la directory C:\Program Files\Fortinet\FortiClient\logs\Trace\scripts\ sui sistemi managed per file .cmd con nomi in formato GUID, attività anomala di fortitray.exe che avvia cmd.exe o powershell.exe, e connessioni HTTP verso 83.138.53[.]110.
3. Analisi delle modifiche ai Remote Access Profile
Rivedere le configurazioni VPN on_connect: script inseriti o modificati in modo non documentato, specialmente quelli che eseguono PowerShell o richiamano file eseguibili esterni, devono essere trattati come sospetti fino a verifica.
4. Rotazione credenziali browser e verifica accessi cloud
Le credenziali rubate da EKZ abilitano movimento laterale, accesso a servizi cloud e business email compromise. Dove non già fatto, valutare la rotazione delle credenziali salvate nei browser aziendali e l'analisi degli accessi recenti a servizi critici.
Domande e risposte
La vulnerabilità colpisce direttamente gli endpoint con FortiClient installato?
No. La falla risiede nel server FortiClient EMS, non nell'agent endpoint. Tuttavia, una volta compromesso l'EMS, tutti i dispositivi gestiti diventano veicoli di esecuzione attraverso le policy di management.
Posso rilevare l'attacco solo monitorando il traffico di rete?
Difficilmente in fase iniziale. L'esecuzione avviene tramite processi legittimi e il payload è mascherato da aggiornamento ufficiale. La rilevazione richiede analisi della catena di processo e ispezione dei percorsi di script non standard.
È noto chi sia dietro la campagna?
Nessuna fonte disponibile fornisce attribuzione a gruppi specifici. L'uso di nodi Tor per l'accesso iniziale e di un VPS per C2 non consente identificazione diretta.
L'incidente conferma un pattern in crescita: gli attaccanti puntano sempre più spesso agli strumenti di gestione e monitoraggio, sfruttando la fiducia implicita che questi sistemi si sono costruiti all'interno delle organizzazioni. Dove la sicurezza perimetrale si è fatta più rigida, l'infrastruttura interna diventa il percorso di minor resistenza. La scoperta di Arctic Wolf offre però una traccia tecnica dettagliata: chi ha ancora EMS 7.4.5 o 7.4.6 in produzione sa esattamente cosa cercare e quanto tempo non ha.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://thehackernews.com/2026/05/threat-actors-exploit-critical.html
- https://cyberscoop.com/crowdstrike-glassworm-botnet-takedown/
- https://arcticwolf.com/resources/blog/forticlient-ems-exploited-via-cve-2026-35616-to-deliver-ekz-infostealer-disguised-as-a-fortinet-patch/
- https://securityaffairs.com/192817/malware/cve-2026-35616-forticlient-ems-flaw-actively-exploited-in-malware-attacks.html
- https://cybersecuritynews.com/forticlient-code-execution-vulnerability/
- https://nvd.nist.gov/vuln/detail/CVE-2026-35616
- https://www.cve.org/CVERecord?id=CVE-2026-35616
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- https://thehackernews.com/