FortiClient EMS zero-day: EKZ infostealer sfrutta il canale VPN
CVE-2026-35616 con CVSS 9.8: FortiClient EMS compromesso trasforma la piattaforma di management in veicolo di diffusione di malware. Nuovi attacchi a maggio 20…
Contenuto
Il 28 maggio 2026 Arctic Wolf ha documentato una nuova ondata di attacchi che sfrutta CVE-2026-35616, vulnerabilità critica di improper access control in FortiClient EMS 7.4.5-7.4.6 con CVSS fino a 9.8. Gli exploit non si limitano più alla compromissione dell'appliance centrale: trasformano la stessa infrastruttura di management distribuito in un canale di distribuzione di EKZ Infostealer su tutti gli endpoint gestiti, abusando delle VPN scripting workflows native.
La storia è nota da aprile. Fortinet ha rilasciato hotfix dopo aver confermato exploitation zero-day in the wild, CISA ha inserito la CVE nel KEV catalog il 6 aprile 2026 con due date fissata al 9 aprile. Eppure a maggio gli attacchi continuano, con una modalità che espone un paradosso operativo: la piattaforma costruita per proteggere il perimetro VPN diventa il veicolo di compromissione di massa.
- CVE-2026-35616 è una vulnerabilità di improper access control (CWE-284) in FortiClient EMS 7.4.5-7.4.6 con punteggio CVSS 9.8 (CNA Fortinet) o 9.1 (CVE.org con metriche temporali E:F/RL:O/RC:C)
- Gli attacchi freschi di maggio 2026 distribuiscono EKZ Infostealer mascherato da patch endpoint legittima Fortinet, eseguito via PowerShell attraverso le VPN scripting workflows gestite dall'EMS
- EKZ Infostealer esporta credenziali da browser supportati a file di log locali, senza capacità di exfiltrazione network-based: il furto avviene in loco, presumibilmente per successiva raccolta manuale o tramite altri canali
- La compromissione dell'appliance EMS permette esecuzione di codice su ogni endpoint gestito, trasformando un singolo punto di ingresso in un vettore di diffusione di massa attraverso funzionalità native di management
La meccanica dell'exploit: da bypass autenticazione a command execution distribuita
Il difetto risiede nel processing di richieste HTTP crafted inviate a specifici endpoint di FortiClient EMS. L'appliance accetta queste richieste come azioni amministrative legittime anche in assenza di credenziali valide, saltando completamente il controllo di accesso. Da quel punto, l'attaccante interagisce con funzionalità che normalmente richiederebbero privilegi amministrativi.
Quello che distingue la campagna di maggio 2026 è il passaggio successivo. Invece di limitarsi al pivoting tradizionale post-compromissione, gli attaccanti hanno integrato l'infrastruttura di management nell'intera catena offensiva. Hanno utilizzato le VPN scripting workflows — funzionalità native progettate per automatizzare operazioni sui client VPN — per pushare comandi PowerShell malevoli agli endpoint. Arctic Wolf ha rilevato che il pattern di esecuzione "resembled legitimate management operations": la detection comportamentale è compromessa dalla natura stessa del canale.
"The observed execution pattern suggests that threat actors used FortiClient's own management pathway to push malicious PowerShell commands to managed endpoints in a way that resembled legitimate management operations" — Arctic Wolf
L'infostealer viene presentato come un aggiornamento endpoint Fortinet falso, silenziosamente eseguito tramite PowerShell. Una volta attivo, EKZ raccoglie credenziali dai browser supportati e le scrive in file di log locali. La scelta di non implementare exfiltrazione network-based suggerisce un design modulare: il malware si limita alla raccolta, delegando la rimozione dati a fasi successive o ad altri tool.
Dal zero-day di marzo alla exploitation continuativa: una timeline che non dovrebbe esistere
Gli exploitation attempts iniziali erano già stati osservati dal 31 marzo 2026, come ha documentato Benjamin Harris di watchTowr in un reportage di CyberScoop datato 6 aprile. Fortinet ha reagito con hotfix e CISA ha accelerato l'inclusione nel KEV catalog. Shadowserver, nello stesso periodo, rilevava quasi 2.000 istanze FortiClient EMS esposte pubblicamente.
La rampata di exploitation zero-day ha coinciso con il weekend di Pasqua. Harris, in un'altra citazione riferita da CyberScoop, ha notato come "attackers have shown repeatedly that holiday weekends are the best time to move". Il consiglio operativo era inequivocabile: "The best time to apply the hotfix was yesterday. The second-best time is right now."
Due mesi dopo, la constatazione di Arctic Wolf dimostra che il second-best time non è stato sufficiente. Gli attacchi di maggio 2026 non rappresentano una variante tecnica nuova: riutilizzano la stessa vulnerabilità, la stessa superficie, gli stessi endpoint vulnerabili. Il problema non è l'assenza di patch, ma la sua applicazione.
Il management betrayal: quando la piattaforma di sicurezza tradisce il proprio scopo
Il caso CVE-2026-35616 illustra un pattern che definisco "management betrayal": l'infrastruttura di controllo e distribuzione, legittima e trusted, viene weaponizzata contro i sistemi che dovrebbe proteggere. Non è la prima volta che strumenti di endpoint management vengono abusati, ma la convergenza di tre fattori rende questo caso particolarmente insidioso.
Primo, la natura non autenticata della vulnerabilità abbassa la soglia d'ingresso: non serve compromettere credenziali amministrative, bypassare MFA o muoversi lateralmente. Secondo, l'abuso delle VPN scripting workflows sfrutta un canale già allowlisted e spesso escluso dai controlli comportamentali. Terzo, la mascheratura del payload come patch legittima sfrutta il trust implicito che gli endpoint ripongono nel proprio sistema di management.
L'impatto operativo si estende oltre il singolo endpoint compromesso. L'accesso all'EMS appliance è accesso a tutto il parco gestito. In un'organizzazione con centinaia o migliaia di endpoint VPN, la compromissione dell'EMS centrale rappresenta un'escalation istantanea a livello enterprise, senza le fasi intermedie di lateral movement che normalmente offrono opportunità di rilevazione.
Cosa fare adesso
- Verificare la versione di FortiClient EMS in produzione: le build vulnerabili 7.4.5 e 7.4.6 devono essere aggiornate all'hotfix rilasciato da Fortinet ad aprile 2026, se non già fatto
- Ispezire le VPN scripting workflows attive sui client gestiti: script non autorizzati o PowerShell invocation anomale attraverso questo canale sono indicatori di compromissione attiva
- Ricercare la presenza di EKZ Infostealer controllando la generazione di file di log contenenti credenziali browser esportate, dato che il malware scrive in locale senza esfiltrare via rete
- Valutare l'esposizione pubblica dell'appliance EMS: Shadowserver aveva rilevato quasi 2.000 istanze esposte, e la CVE richiede solamente connettività di rete all'endpoint vulnerabile
La lezione del non-patch: quando il KEV non basta
CISA ha assegnato a CVE-2026-35616 una due date di tre giorni dal KEV listing, tra le più aggressive del catalogo. L'aggressività rifletteva la gravità oggettiva: accesso remoto non autenticato, RCE, exploitation confermata, superficie esposta misurabile. Eppure la campagna di maggio 2026 dimostra che il segnale normativo, anche quando accelerato, non garantisce l'azione operativa.
Il divario tra disponibilità di patch e applicazione effettiva resta il punto cieco più consistente della difesa enterprise. Non è un problema di awareness: l'advisory Fortinet dichiarava esplicitamente "exploited in the wild", CISA ha elevato, i ricercatori hanno amplificato. È un problema di friction operativa, di change management in ambienti dove l'EMS gestisce l'accesso remoto critico, di valutazione del rischio di patching versus il rischio di non patching che fallisce sistematicamente in direzione sbagliata.
Resta non confermato se gli attacchi di maggio 2026 siano attribuibili allo stesso threat actor degli exploitation iniziali di marzo-aprile, né se CVE-2026-35616 e CVE-2026-21643 — altra vulnerabilità FortiClient EMS in KEV, di tipo SQL injection — siano state sfruttate in campagne collegate. Fonti non specificano inoltre se la versione 7.4.7 con fix permanente sia stata effettivamente rilasciata, dato che SecurityAffairs riporta solo che l'hotfix "will also be included in version 7.4.7" senza confermarne disponibilità.
La prossima ondata potrebbe non richiedere una nuova vulnerabilità. Potrebbe semplicemente trovare la stessa superficie, ancora aperta.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.securityweek.com/critical-forticlient-ems-vulnerability-exploited-in-fresh-attacks/
- https://securityaffairs.com/192817/malware/cve-2026-35616-forticlient-ems-flaw-actively-exploited-in-malware-attacks.html
- https://cyberscoop.com/fortinet-forticlient-ems-zero-day-cve-2026-35616-hotfix-known-exploited/
- https://nvd.nist.gov/vuln/detail/CVE-2026-35616
- https://www.cve.org/CVERecord?id=CVE-2026-35616
- https://nvd.nist.gov/vuln/detail/CVE-2026-21643
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- https://unit42.paloaltonetworks.com/fifa-world-cup-attack-surface/
- https://unit42.paloaltonetworks.com/captive-portal-zero-day/
- https://unit42.paloaltonetworks.com/cve-2026-31431-copy-fail/
- https://unit42.paloaltonetworks.com/autonomous-ai-cloud-attacks/