Una vulnerabilità critica in FortiClient Endpoint Management Server (EMS) sta venendo sfruttata da attori malevoli per distribuire malware progettato per il furto di credenziali, approfittando di un canale considerato affidabile in molte aziende. Il problema riguarda la falla CVE 2026 35616 con punteggio CVSS 9.1: un bypass di autenticazione su API pre-autenticazione che può portare a escalation di privilegi.
La correzione è disponibile nelle versioni FortiClient EMS 7.4.7 e successive, ma le campagne osservate dimostrano come i sistemi non aggiornati restino un bersaglio ad alto impatto.
La tecnica di attacco punta alla catena di gestione degli endpoint. Dopo una compromissione riuscita, gli aggressori modificano impostazioni e configurazioni per ridurre la visibilità di segnali sospetti, ad esempio intervenendo sui promemoria di aggiornamento e su profili di accesso remoto e policy endpoint. Il passaggio chiave è l'inserimento di uno script malevolo che viene poi eseguito sui dispositivi gestiti, sfruttando i normali percorsi di distribuzione e automazione tipici di un server EMS. In pratica, invece di dover violare singolarmente ogni macchina, l'attaccante usa l'infrastruttura di endpoint management per raggiungere tutti gli endpoint sotto gestione.
Nel flusso osservato, vengono eseguiti comandi PowerShell che simulano operazioni legittime di amministrazione. Un componente legittimo come fortitray.exe viene utilizzato per avviare uno script cmd tramite cmd.exe. Questo script richiama un comando PowerShell codificato in Base64, incaricato di scaricare un payload, eseguirlo e gestire la raccolta dei dati.
Il file malevolo si presenta come un aggiornamento, con un nome che richiama una patch endpoint, ma in realtà è un information stealer per Windows capace di estrarre password, cookie e dati di autofill inclusi dettagli di pagamento, indirizzi e numeri di telefono dai browser basati su Chromium e Gecko. I dati vengono salvati in file di log e depositati nella cartella ProgramData. Un dettaglio importante è che il malware non effettua direttamente l'esfiltrazione in rete, che viene invece gestita dallo script PowerShell tramite richiesta HTTP POST verso un server controllato dagli attaccanti.
Il rischio operativo è elevato anche per gli accessi successivi: cookie di sessione e credenziali salvate possono consentire accesso a servizi cloud e applicazioni interne, in alcuni casi aggirando richieste MFA tramite riuso di sessione.