详细内容或原文请订阅后点击阅览
CVE-2026-35616:恶意软件攻击中主动利用的 FortiClient EMS 缺陷
威胁参与者正在利用一个严重的 FortiClient EMS 缺陷(追踪为 CVE-2026-35616)在未修补的系统上部署恶意软件。威胁行为者正在利用一个严重的 FortiClient EMS 漏洞,跟踪为 CVE-2026-35616(CVSS 评分为 9.1),该漏洞允许在未经身份验证的情况下远程执行代码。 Fortinet 在确认野外零日攻击后于 4 月份发布了修复程序,并敦促 [...]
来源:Security Affairs _恶意软件CVE-2026-35616:恶意软件攻击中主动利用的 FortiClient EMS 缺陷
威胁参与者正在利用一个严重的 FortiClient EMS 缺陷(追踪为 CVE-2026-35616)在未修补的系统上部署恶意软件。
威胁参与者正在利用一个严重的 FortiClient EMS 漏洞,跟踪为 CVE-2026-35616(CVSS 评分为 9.1),该漏洞允许在未经身份验证的情况下远程执行代码。 Fortinet 在确认野外存在零日攻击后于四月份发布了修复程序,并敦促客户立即修补。
该缺陷是一个不适当的访问控制问题,允许攻击者通过 API 绕过身份验证并升级权限,从而给受影响的系统带来严重风险。
2026 年 5 月,Arctic Wolf 发现针对 FortiClient EMS 管理的系统的攻击。攻击者使用了假冒的 Fortinet 补丁,该补丁实际上传播了名为 EKZ Infostealer 的凭据窃取恶意软件。该恶意软件收集浏览器凭据,将其存储在日志文件中,并通过 HTTP 窃取它们。研究人员认为,威胁行为者滥用 FortiClient 自己的管理功能,将恶意 PowerShell 命令推送到托管端点,将每个连接的设备变成潜在目标。
“当在没有有效凭据的情况下将特制的 HTTP 请求发送到某些 FortiClient EMS 端点时,这些请求将被视为合法的管理操作。从那时起,威胁行为者可以与通常需要管理访问权限的 EMS 功能进行交互。”阅读北极狼发表的报告。 “威胁行为者将凭证窃取者有效负载伪装成 Fortinet 端点更新,通过 PowerShell 静默执行恶意可执行文件。”
Fortinet 于 4 月初针对关键的 FortiClient EMS 漏洞发布了带外补丁。 Fortinet 确认该漏洞已被积极利用,并敦促 FortiClient EMS 7.4.5 和 7.4.6 用户安装可用的修补程序。 7.4.7 版本中还将包含永久修复。
皮尔路易吉·帕格尼尼