Lỗ hổng CVE CVE-2026-35616 trong FortiClient Endpoint Management Server (EMS) đang bị khai thác trong một chiến dịch nhắm vào hạ tầng quản trị đáng tin cậy để triển khai âm thầm một mã độc đánh cắp thông tin trên các endpoint doanh nghiệp được quản lý.
CVE-2026-35616 Và Cơ Chế Khai Thác
Trong tháng 5/2026, các nhà nghiên cứu của Arctic Wolf ghi nhận một cụm hoạt động độc hại khai thác CVE-2026-35616, một lỗi improper access control trong FortiClient EMS. Chi tiết tham chiếu có thể xem tại NVD.
Điểm yếu này cho phép tác nhân đe dọa không cần xác thực vượt qua cơ chế API authentication và gửi các yêu cầu đặc quyền đến hệ thống bị ảnh hưởng. Kết quả là họ có thể giành quyền quản trị mà không cần thông tin đăng nhập hợp lệ.
Trong bối cảnh lỗ hổng CVE này bị khai thác, một lần xâm nhập vào EMS có thể mở rộng tác động sang toàn bộ thiết bị đầu cuối đang được quản lý.
Chuỗi Tấn Công Trên FortiClient EMS
Sau khi có được quyền truy cập vào cấu hình EMS, tác nhân đe dọa sửa đổi Remote Access Profile và endpoint policy để chèn script độc hại lên tất cả thiết bị quản lý.
FortiClient EMS hỗ trợ thực thi script khi VPN tunnel được thiết lập thông qua on_connect directives. Đây là một tính năng hợp lệ, nhưng trong vụ việc này nó đã bị khai thác hoàn toàn để phục vụ tấn công.
Khi endpoint kết nối qua IPsec tunnel, fortitray.exe sẽ khởi chạy các tệp .cmd có tên theo GUID, nằm trong đường dẫn log mặc định của FortiClient:
C:\Program Files\Fortinet\FortiClient\logs\Trace\scripts\{GUID}.cmdCác script này giải mã và thực thi một payload PowerShell được mã hóa base64. Payload tải xuống tệp thực thi độc hại, chạy âm thầm, chờ 90 giây, rồi xuất dữ liệu qua HTTP POST đến VPS do tác nhân kiểm soát tại 83[.]138.53[.]110.
Chuỗi Tiến Trình Quan Sát Được
fortitray.exe
└── {GUID}.cmd
└── powershell.exe
└── tải xuống payload độc hại
└── thực thi EKZ Infostealer
└── exfiltration qua HTTP POSTMã Độc Đánh Cắp Thông Tin EKZ Infostealer
Payload được tải xuống, ngụy trang dưới tên FortiEndpoint_Patch.exe, là một tệp Windows binary biên dịch bằng MinGW. Arctic Wolf đặt tên nó là EKZ Infostealer, dựa trên các chuỗi symbol nội bộ trích từ mã đã giải mã. Mẫu này lần đầu được quan sát trong tháng 5/2026 và chưa từng được công bố trước đó.
Đây là ví dụ điển hình của mã độc đánh cắp thông tin nhắm vào dữ liệu xác thực và dữ liệu trình duyệt của người dùng.
Mục Tiêu Khai Thác Dữ Liệu
EKZ nhắm vào cả trình duyệt họ Chromium và họ Gecko:
- Chromium-family: Chrome, Edge.
- Gecko-family: Firefox, LibreWolf, Thunderbird.
Với trình duyệt Chromium, malware định vị cài đặt qua registry, sao chép chính nó vào thư mục Application\ của trình duyệt để vượt qua kiểm tra đường dẫn của Elevation Service, rồi gọi IElevator::DecryptData để lấy v20 AES-256 master key trước khi giải mã cơ sở dữ liệu thông tin đăng nhập.
Với Firefox, mã độc tải động nss3.dll và trích xuất dữ liệu từ key4.db, logins.json, và cookies.sqlite.
Dữ Liệu Bị Thu Thập Và Rủi Ro Bảo Mật
Dữ liệu bị thu thập bao gồm mật khẩu đã lưu, session cookie và các trường autofill như thông tin thẻ tín dụng. Sau đó, chúng được ghi vào tệp log.txt trong ProgramData và được exfiltrate theo lịch định kỳ.
Rủi ro bảo mật lớn nhất nằm ở session cookie bị đánh cắp. Các cookie này có thể cho phép account takeover ngay cả khi đã bật MFA, nếu phiên đăng nhập vẫn còn hiệu lực.
Trong ngữ cảnh lỗ hổng CVE đang bị khai thác, việc chiếm được EMS có thể dẫn đến rò rỉ dữ liệu nhạy cảm trên diện rộng, vì cấu hình bị sửa đổi sẽ được đẩy xuống toàn bộ endpoint quản lý.
IOC Quan Sát Được
Các IOC dưới đây xuất hiện trong chuỗi tấn công mạng được ghi nhận:
- CVE: CVE-2026-35616.
- Địa chỉ IP exfiltration: 83[.]138.53[.]110.
- IP Tor exit node: 185[.]220.101.15.
- IP Tor exit node: 192[.]42.116.14.
- Tên tệp độc hại: FortiEndpoint_Patch.exe.
- Đường dẫn script: C:\Program Files\Fortinet\FortiClient\logs\Trace\scripts\{GUID}.cmd.
- Dữ liệu bị thu thập: log.txt, key4.db, logins.json, cookies.sqlite.
Ý Nghĩa Đối Với FortiClient EMS
Với các tổ chức sử dụng FortiClient EMS, sự cố này cần được xem là một tín hiệu phản ứng sự cố ưu tiên cao. Một lần hệ thống bị xâm nhập vào EMS có thể dẫn tới việc toàn bộ endpoint được quản lý bị phơi nhiễm.
Đây là dạng cảnh báo CVE cần được theo dõi sát vì kẻ tấn công đã tận dụng hạ tầng quản trị hợp lệ để phát tán script, tải payload và thực hiện exfiltration mà không cần thao tác xâm nhập trực tiếp trên từng máy trạm.
Thông tin tham khảo thêm từ nhà nghiên cứu có thể xem tại Arctic Wolf.
Điểm Kỹ Thuật Cần Lưu Ý Khi Phân Tích Sự Cố
Trong quá trình điều tra phát hiện xâm nhập, cần chú ý đến các dấu hiệu thực thi chuỗi lệnh bắt đầu từ fortitray.exe, các file .cmd sinh ra trong thư mục script của FortiClient, và các kết nối HTTP POST bất thường đến hạ tầng ngoài.
Do payload được thiết kế để chạy âm thầm và trì hoãn thực thi trong 90 giây, các công cụ IDS và giám sát tiến trình cần được đối chiếu theo timeline thay vì chỉ dựa trên hành vi tức thời.
