Den 31. marts 2026 opdagede sikkerhedsfirmaet watchTowr aktiv udnyttelse af en kritisk zero-day sårbarhed i Fortinets FortiClient Enterprise Management Server (EMS), dage før Fortinet selv offentliggjorde en patch. Sårbarheden, officielt registreret som CVE-2026-35616 med en CVSS-score på 9.8 ifølge NVD og 9.1 ifølge Fortinet, giver uautoriserede angribere mulighed for at udføre vilkårlig kode på serveren uden et eneste gyldigt login. I maj 2026 eskalerede truslen yderligere, da Arctic Wolf dokumenterede en aktiv kampagne, der udnyttede sårbarheden til at levere EKZ Infostealer, et credential-stjælende malware-program, forklædt som en legitim Fortinet-patch. Resultatet: tusindvis af virksomheders browseradgangskoder, cookies og autofill-data kompromitteret på tværs af alle administrerede endpoints.
CVE-2026-35616: Teknisk overblik og CVSS-profil
CVE-2026-35616 er klassificeret som en Improper Access Control-sårbarhed (CWE-284) i FortiClient EMS API. Når en angriber sender specialfremstillede HTTP-forespørgsler til bestemte API-endepunkter i FortiClient EMS, behandler serveren dem som legitime administrative handlinger, selvom der ikke er knyttet gyldige legitimationsoplysninger til forespørgslen. Derfra kan angriberen interagere med enhver EMS-funktionalitet, der normalt kræver administratoradgang, herunder udrulning af scripts og konfigurationsændringer til alle administrerede endpoints.
| Attribut | Detalje |
|---|---|
| CVE-identifikator | CVE-2026-35616 |
| Fortinet Advisory | FG-IR-26-099 (udgivet 4. april 2026) |
| CVSS-score (Fortinet) | 9.1 (Kritisk) |
| CVSS-score (NVD) | 9.8 (Kritisk) |
| Sårbarhedstype | Improper Access Control (CWE-284) |
| Angrebsvektor | Netværk (uautoriseret RCE via API) |
| Berørte versioner | FortiClient EMS 7.4.5 og 7.4.6 |
| Ikke berørt | FortiClient EMS 7.2 og ældre |
| FortiClient Cloud | Ikke berørt (Fortinet patchede dette separat) |
| FortiSASE | Ikke berørt (Fortinet patchede dette separat) |
| Første udnyttelse observeret | 31. marts 2026 (watchTowr Attacker Eye sensors) |
| Fortinet patch offentliggjort | 4. april 2026 |
| CISA KEV tilføjet | 6. april 2026 |
| CISA-deadline for føderale myndigheder | 9. april 2026 |
| Permanent fix | FortiClient EMS 7.4.7 |
Det tekniske fundament for CVE-2026-35616 ligger i FortiClient EMS API-lageret, der håndterer kommunikation med administrerede FortiClient-endpoints. Systemet er designet til at lade it-administratorer udrulle politikker, opdateringer og konfigurationer til alle enheder i netværket fra et centralt punkt. Netop denne centrale rolle gør en uautoriseret API-bypass så katastrofal: en angriber behøver kun at kompromittere EMS-serveren for at nå samtlige administrerede enheder i organisationen.
Angrebsvektoren: Sådan omgår angribere autentifikation
Angrebet kræver ingen brugerinteraktion og ingen forudgående adgang til systemet. Angriberen sender en specialkonstrueret HTTP-forespørgsel direkte til FortiClient EMS management-porten 8013, som typisk er eksponeret for netværket. Serveren validerer ikke korrekt, om forespørgslen stammer fra en autoriseret bruger, og behandler den i stedet som en legitim administrativ kommando.
Sikkerhedsanalytikere fra SOC Prime genskabte angrebet i laboratoriet og dokumenterede forløbet: fra den første uautoriserede HTTP-forespørgsel observerede de, at fortitray.exe eller ipsec.exe spawner cmd.exe, som dernæst udfører en Base64-kodet PowerShell-kommando. Denne kommando downloader p.exe fra en ondsindet IP-adresse, og malwaren udføres på tværs af alle endpoints administreret af den kompromitterede EMS-server.
# Angrebsforløb dokumenteret af SOC Prime:
# 1. Angriber sender crafted HTTP-forespørgsel til port 8013
# 2. EMS behandler forespørgslen uden autentifikation (CVE-2026-35616)
# 3. EMS distribuerer ondsindet PowerShell via trusted konfigurationskanal
# 4. fortitray.exe / ipsec.exe spawner cmd.exe
# 5. Base64-encoded PowerShell downloader p.exe fra C2-server
# 6. EKZ Infostealer eksekveres, skriver log.txt til ProgramData
# 7. Indsamlede credentials exfiltreres via HTTP til C2
# 8. p.exe sletter sig selv
# Berørte API-port:
# FortiClient EMS management port: TCP 8013 (bør begrænses til trusted IP-ranges)Den centrale angrebskanal er, at EMS-serveren fungerer som en trusted distributionsplatform. FortiClient-endpoints accepterer konfigurationer og opdateringer fra EMS uden yderligere verifikation, hvilket giver angriberen mulighed for at nå samtlige administrerede computere i virksomheden via et enkelt kompromitteret punkt. Det er præcis den type angrebsvektor, NIS2-direktivets krav om supply-chain-sikkerhed søger at imødegå.
Tidslinje: Fra zero-day til aktiv kampagne
Tidslinjen for CVE-2026-35616 afslører, at organisationer i realiteten stod ubeskyttet i over en uge, fra den første dokumenterede udnyttelse til den offentlige patching. Defused Cybersecurity, det finske sikkerhedsfirma, opdagede sårbarheden som en zero-day og rapporterede den ansvarligt til Fortinet. Forsker Simo Kohonen fra Defused modtog efterfølgende officiel anerkendelse fra Fortinet i advisory FG-IR-26-099 for opdagelsen.
watchTowr’s Attacker Eye-sensorer registrerede den 31. marts 2026 aktive udnyttelsesmønstre mod FortiClient EMS-honeypots, dage efter at Defused Cyber allerede havde observeret reelle angreb i produktionsmiljøer. watchTowr konkluderede direkte i sin analyse: “CVE-2026-35616 was exploited in the wild before Fortinet published its advisory. This is not a theoretical risk or future concern. Attackers were already inside affected environments when the disclosure went public.”
Fortinet udgav advisory FG-IR-26-099 den 4. april 2026 og understregede, at man allerede havde observeret aktiv udnyttelse. To dage senere, den 6. april, tilføjede CISA (U.S. Cybersecurity and Infrastructure Security Agency) CVE-2026-35616 til sin Known Exploited Vulnerabilities (KEV)-katalog og satte en usædvanlig stram deadline: alle føderale civile myndigheder (FCEB) skulle have installeret patchen inden den 9. april 2026. En 3-dages deadline fra CISA signalerer en trussel af høj prioritet.
EKZ Infostealer: Kampagnen Arctic Wolf opdagede i maj 2026
Mens de første angreb primært fokuserede på at etablere adgang og installere fjernstyringsværktøjer, dokumenterede Arctic Wolf i maj 2026 en mere sofistikeret kampagne, der udnyttede CVE-2026-35616 til en direkte og systematisk credential-tyveri-operation. Angriberne forklædte malwaren EKZ Infostealer som en legitim Fortinet endpoint-opdatering og distribuerede den via EMS’s trusted konfigurationskanaler.
EKZ Infostealer er klassificeret som en broad-spectrum infostealer, der primært sigter mod browser-baserede legitimationsoplysninger. Malwarens kapabiliteter er dokumenteret af Arctic Wolf og SOC Prime:
- Chrome-adgangskoder: Malwaren indeholder bypass-teknikker mod Chromes krypterede adgangskodelagring (App-Bound Encryption), som Google introducerede som en sikkerhedsbarriere mod netop denne type angreb
- Firefox-legitimationsoplysninger: Fuld ekstraktion af gemte passwords og sessionsdata
- Cookies: Sessionscookies fra alle browsere, der potentielt muliggør session hijacking uden adgangskode
- Autofill-data: Kreditkortnumre, adresser og andre autofill-oplysninger
- Exfiltration-metode: Malwaren skriver høstede data til
log.txtiProgramDataog sender dem via HTTP til C2-serveren - Self-deletion: Malwaren sletter sig selv efter exfiltration for at reducere sporene
Det, der gør EKZ Infostealer særligt farlig i denne kontekst, er distributionsmetoden. Fordi den ankommer via en EMS-konfigurationskanal, som endpoints er programmeret til at stole på, udløser den typisk ingen advarsler i slutbrugerens sikkerhedssoftware. Det svarer til, at malwaren har Fortinets eget signatur som godkendelse.
Fortinets svar: Hotfix og permanent patch
Fortinet reagerede med to afhjælpningsniveauer. For det første udgav de et out-of-band hotfix, der kan installeres på de berørte versioner 7.4.5 og 7.4.6 uden systemnedetid. Hotfixet er tilgængeligt under versionnumrene 7.4.5.2111 og 7.4.6.2170 i de respektive release notes. Den permanente løsning er en opgradering til FortiClient EMS 7.4.7, der inkluderer den fulde fix.
Fortinet understregede i advisory, at FortiClient Cloud og FortiSASE allerede var patchet separat, og at brugere af disse tjenester ikke behøver at foretage yderligere handling. Det er alene on-premises installationer af FortiClient EMS version 7.4.5 og 7.4.6, der er i fare.
Sikkerhedsekspert Dr. Johannes Ullrich fra SANS Internet Storm Center kommenterede situationen: “Det faktum, at dette er anden uautoriserede RCE-sårbarhed i FortiClient EMS afsløret inden for uger, rejser bekymring om den systematiske gennemgang af sikkerhedsarkitekturen i FortiClient EMS API-laget. Virksomheder bør behandle enhver internet-eksponeret FortiClient EMS-installation som potentielt kompromitteret.”
CVE-2026-21643: Den anden sårbarhed i FortiClient EMS
CVE-2026-35616 er ikke en isoleret hændelse. Greenbone Security og watchTowr dokumenterer, at det er anden kritiske og aktivt udnyttede sårbarhed i FortiClient EMS, der er afsløret inden for en kort periode. Forgængeren, CVE-2026-21643, ramte FortiClient EMS version 7.4.4 og var ligeledes under aktiv udnyttelse.
Den tætte tidsmæssige nærhed af to uautoriserede RCE-sårbarheder i samme produkt er et mønster, der kendes fra andre Fortinet-produktlinjer og afspejler, at angribere aktivt researcher FortiClient EMS-kodebasen for nye vektorer, efterhånden som produktet patches. For nordiske virksomheder med FortiClient EMS i produktionsmiljøer er det et signal om, at patchning alene ikke er tilstrækkeligt: man bør gennemgå hele eksponeringsprofilen for management-porten.
Sammenligning: CVE-2026-35616 vs andre kritiske Fortinet-sårbarheder
For at forstå alvoren af CVE-2026-35616 er det nyttigt at sammenligne den med andre kritiske Fortinet-CVE’er fra de seneste år. Fortinet-produkter, inklusiv FortiGate, FortiOS og FortiClient EMS, har gentagne gange figureret på CISA’s KEV-liste, og mønsteret viser en konstant escalering af angrebssofistikering.
| CVE | Produkt | CVSS | Type | Udnyttelse | CISA KEV |
|---|---|---|---|---|---|
| CVE-2026-35616 | FortiClient EMS 7.4.5-7.4.6 | 9.8 (NVD) | Uautoriseret RCE (API bypass) | Zero-day, aktiv kampagne | Ja (6. april 2026) |
| CVE-2026-21643 | FortiClient EMS 7.4.4 | Kritisk | Uautoriseret RCE | Aktiv udnyttelse | Ja |
| CVE-2026-0257 | Palo Alto GlobalProtect | 7.8 | Auth Bypass | Qilin Ransomware | Ja |
| CVE-2026-41940 | cPanel/WHM | 9.8 | Auth Bypass | 1,5 mio. servere | Ja |
| CVE-2026-21962 | Oracle WebLogic | 10.0 | RCE | 140.000 angreb på 12 dage | Ja |
| CVE-2024-55591 | FortiOS/FortiProxy | 9.8 | Auth Bypass | Aktivt udnyttet | Ja |
Mønsteret er klart: Fortinet-produkter er et primært mål for avancerede trusselsaktører, og authentication bypass i API-laget er et tilbagevendende angrebsmønster. For FortiClient EMS er konsekvensen særligt alvorlig, fordi platformen er designet til at styre endpoint-sikkerhed i stor skala. En kompromitteret EMS-server er i realiteten en angriberkontrolleret sikkerhedsadministrationsplatform.
Hvad risikerer nordiske og danske virksomheder?
FortiClient EMS er udbredt i den nordiske erhvervsliv, særligt i mellemstore og store virksomheder der anvender Fortinets Security Fabric-arkitektur. Ifølge DNV Cybers rapport fra juni 2026 om nordisk cyber-resiliens blev 166 cyberangreb dokumenteret mod nordiske organisationer i 2025, fordelt på 41 i Danmark, 60 i Sverige, 44 i Finland og 21 i Norge. Det reelle tal er sandsynligvis højere, da mange hændelser ikke rapporteres offentligt.
For organisationer, der anvender FortiClient EMS version 7.4.5 eller 7.4.6, er risikobilledet konkret:
- Credential theft i stor skala: EKZ Infostealer kan høste adgangskoder fra alle endpoints administreret af en kompromitteret EMS-server, potentielt hundredvis af computere i en virksomhed
- Lateral movement: Stjålne browser-credentials inkluderer typisk VPN-logins, cloud-portaler og interne systemer, der giver angribere grundlag for dybere netværksindtrængen
- Supply chain-risiko: Angreb via EMS-infrastrukturen ligner legitim administrativ trafik og er svær at opdage med traditionelle netværkssignaturer
- Compliance-konsekvenser: Under NIS2-direktivet er virksomheder i kritiske sektorer forpligtet til at rapportere sikkerhedshændelser inden for 24 timer (for væsentlige hændelser) og kan pålægges bøder op til €10 mio. eller 2% af global omsætning
Kudelski Security, et internationalt anerkendt cybersikkerhedsfirma med stærk tilstedeværelse i Europa, konkluderede i sin analyse: “CVE-2026-35616 er en improper access control-sårbarhed, der giver fjern-uautoriserede angribere mulighed for at eksekvere vilkårlig kode via specialkonstruerede forespørgsler. Fortinet har bekræftet aktiv udnyttelse af denne fejl i den fri verden, og øjeblikkelig handling er påkrævet for at beskytte berørte systemer.”
NIS2-compliance og hændelsesrapportering
For danske virksomheder tilføjer NIS2-direktivet, implementeret i dansk ret, et regulatorisk lag til den tekniske trussel. Den 6. april 2026, samme dag som CISA tilføjede CVE-2026-35616 til KEV-kataloget, var fristen for mange virksomheder under NIS2’s kritiske og vigtige sektorer at vurdere deres eksponering og iværksætte afhjælpning.
NIS2 kræver, at organisationer, der er klassificeret som kritiske (energi, transport, bankvirksomhed, sundhed m.fl.), rapporterer hændelser inden for 24 timer til Center for Cybersikkerhed (CFCS) og within 72 timer afgiver en fuld statusopdatering. For virksomheder, der opdager, at de har kørt en sårbar version af FortiClient EMS og er blevet kompromitteret, er rapporteringspligten klar.
Ifølge NIS2-implementeringen i Danmark kan Erhvervsstyrelsen pålægge virksomheder bøder på op til €10 mio. eller 2% af global omsætning, den højeste af de to, for manglende overholdelse af sikkerhedskravene. Direktørers personlige ansvar under NIS2 betyder, at C-niveau-ledere kan holdes ansvarlige for manglende håndtering af kendte kritiske sårbarheder som CVE-2026-35616.
Patch-vejledning: Hvad skal din virksomhed gøre nu?
Følgende trin er baseret på Fortinets officielle advisory FG-IR-26-099, watchTowrs analyse og Arctic Wolfs incident response-anbefalinger. Handlingerne er listet i prioriteret rækkefølge:
- Identificer eksponerede versioner: Bekræft om FortiClient EMS 7.4.5 eller 7.4.6 er installeret i jeres miljø. Version 7.2 og ældre er ikke berørt.
- Installer hotfix øjeblikkeligt: Fortinet har udgivet out-of-band hotfixes til begge berørte versioner. Disse kræver ingen systemnedetid. Hotfix 7.4.5.2111 til version 7.4.5 og 7.4.6.2170 til version 7.4.6.
- Opgrader til FortiClient EMS 7.4.7: Den permanente løsning. Planlæg opgraderingen som højeste prioritet.
- Begræns eksponering af management-port 8013: API-porten bør kun være tilgængelig fra kendte, betroede IP-intervaller, aldrig fra internettet.
- Søg efter kompromitteringstegn: Undersøg logs for
fortitray.exeelleripsec.exe, der spawnercmd.exe. Tjek for uventede PowerShell-eksekvering oglog.txt-filer iProgramData. - Skift alle adgangskoder for berørte systemer: Hvis EKZ Infostealer har kørt på endpoints, er alle browser-gemte credentials potentielt eksfiltreret. Skift passwords og tilbagekald aktive sessioner på tværs af alle potentielt berørte tjenester.
- Gennemgå CISA KEV-kataloget: Implementer en proces for automatisk opfølgning på CISA KEV-opslag i jeres patch management-workflow.
Ekspert-analyse: Et mønster af Fortinet-API-sårbarheder
CVE-2026-35616 er ikke et isoleret tilfælde, men det seneste eksempel i en serie af kritiske authentication bypass-sårbarheder i Fortinet-produkters API-lag. Mønsteret er blevet bemærket af adskillige sikkerhedsforskere. watchTowr fremhæver i sin analyse: “This is also the second unauthenticated remote code execution vulnerability in FortiClient EMS disclosed within weeks”, og tilføjer at det er afgørende, at organisationer behandler internet-eksponerede FortiClient EMS-installationer som topprioritet.
Sikkerhedsanalytiker Nick Biasini fra Talos Intelligence kommenterede den bredere tendens: “Vi ser gentagne gange, at enterprise security management-platforme, platforme der administrerer selve sikkerhedslaget i en organisation, er et primært mål for avancerede trusselsaktører. Kompromitterer du administrationsplanet, kompromitterer du alt.”
Horizon3.ai, der publicerede en detaljeret teknisk analyse af CVE-2026-35616, bekræftede, at uautoriseret eksekvering er mulig via et relativt simpelt exploit-mønster. Det bekymrende ved enkelheden er, at angrebets barriere er lav nok til at udnyttes af trusselsaktører med moderate tekniske ressourcer, langt fra kun statslige aktører.
Fra et nordisk perspektiv understreger professor Kasper Ingeman Nielsen fra DTU Compute: “For nordiske virksomheder, der opererer under NIS2 og DORA, er denne type zero-day et direkte test af, om man har modne vulnerability management-processer på plads. Det handler ikke blot om at patche, men om at demonstrere over for tilsynsmyndigheder, at man handler hurtigt og dokumenteret på kendte, kritiske sårbarheder.”
Fortinets historiske CVE-mønster og markedsreaktion
Fortinet er en af verdens største leverandører af netværkssikkerhed med produkter installeret i millioner af virksomheder globalt. Produktlinjer som FortiGate, FortiOS og FortiClient EMS er dominerende i mange store og mellemstore virksomheder, herunder talrige i den nordiske region. Netop denne markedsdominans gør Fortinet-sårbarheder til attraktive mål for both statslige aktører og cyberkriminelle grupper.
CISA har gentagne gange fremhævet Fortinet-produkter i sine KEV-opdateringer, og mønsteret for CVE-2026-35616 gentager en velkendt playbook: zero-day opdaget i honeypots, aktiv udnyttelse bekræftet i produktionsmiljøer, derefter offentlig disclosure og kapløb om patching. Organisationer, der har automatiseret CISA KEV-overvågning og hurtig patch-deployment, vil klare sig væsentligt bedre end dem, der baserer sig på manuelle processer.
Markedsreaktionen på CVE-2026-35616 afspejler en bredere industri-diskussion om, hvornår enterprise sikkerhedsplatforme selv bliver en sikkerhedsrisiko. Greenbone Networks, der publicerede en analyse af både CVE-2026-35616 og den samtidige CVE-2026-21643, konkluderede: “Fortinet FortiClient EMS står over for øjeblikkelig risiko fra to kritiske, aktivt udnyttede sårbarheder.”
5 forudsigelser: Hvad sker der hærnæst med FortiClient EMS-angreb?
Baseret på den dokumenterede tidslinjen og de kendte angrebsmønstre er følgende scenarioer sandsynlige i de kommende måneder:
- Øget ransomware-distribution via FortiClient EMS: EKZ Infostealer er primært et credential-stjæleværktøj, men kompromitterede environments med EMS-administratoradgang er ideelle til ransomware-deployment i stor skala. Vi vurderer, at ransomware-grupper vil eksperimentere med EMS som distributionsvektor i H2 2026.
- Tredje FortiClient EMS-sårbarhed sandsynlig: To RCE-sårbarheder i FortiClient EMS inden for uger viser, at kodebasen aktivt efterforskes. Sandsynligheden for yderligere fund i API-laget er høj. Organisationer bør overveje defense-in-depth uanset patchniveau.
- CISA KEV-compliance vil blive testet i NIS2-tilsynssager: Tilsynsmyndighederne i Danmark og EU vil sandsynligvis bruge CISA KEV som reference i NIS2-tilsynssager. Virksomheder der ikke kan dokumentere rettidig patching af KEV-listede CVE’er, risikerer bøder.
- Fortinet vil accelerere security architecture review: Det gentagne angrebsmønster i API-laget vil presse Fortinet til at gennemføre en grundlæggende arkitekturgennemgang af FortiClient EMS’s autentifikationsmodel, sandsynligvis med introduktion af zero-trust API-principper i 7.4.x-serien.
- EKZ Infostealer-variants vil dukke op i andre kampagner: Credential-stealers der kan omgå Chrome’s App-Bound Encryption er eftertragtet. EKZ Infostealers teknikker vil sandsynligvis optræde i andre angrebskampagner, uafhængigt af FortiClient EMS-vektoren.
Relateret dækning
Læs mere om beslægtede CVE-hændelser og sikkerhedstrusler mod nordiske virksomheder:
- Ivanti EPMM Zero-Day CVSS 9.8: EU-Kommissionen og Finland Kompromitteret, 92 Ofre [2026]
- Ghost CMS CVE-2026-26980: 700+ Websteder Ramt, Harvard og Oxford Kompromitteret [2026]
- cPanel CVE-2026-41940: CVSS 9.8, 1,5 Mio. Servere [2026]
- NIS2 i Danmark: 6.000 Virksomheder, €10M Bøder [2026]
- Norden: 166 Cyberangreb i 2025, Lederskab er Svageste Led [2026]
FAQ: CVE-2026-35616 og FortiClient EMS
Hvad er CVE-2026-35616?
CVE-2026-35616 er en kritisk Improper Access Control-sårbarhed (CWE-284) i Fortinets FortiClient Enterprise Management Server (EMS). Den giver uautoriserede angribere mulighed for at omgå API-autentifikation og eksekvere vilkårlig kode på serveren. CVSS-scoren er 9.8 ifølge NVD og 9.1 ifølge Fortinet.
Hvilke versioner er berørt?
FortiClient EMS version 7.4.5 og 7.4.6 er berørt. Version 7.2 og ældre er ikke sårbare. FortiClient Cloud og FortiSASE er heller ikke berørt, da Fortinet allerede har patchet disse tjenester.
Er min organisation kompromitteret?
Hvis din organisation kørte FortiClient EMS 7.4.5 eller 7.4.6 uden hotfixet før april 2026, og management-porten (8013) var tilgængelig fra internettet eller et ubetroet netværkssegment, er der risiko for kompromittering. Tegn på kompromittering inkluderer fortitray.exe eller ipsec.exe, der spawner cmd.exe, uventede PowerShell-eksekvering og log.txt-filer i ProgramData.
Hvad er EKZ Infostealer?
EKZ Infostealer er et credential-stjælemalware, der i maj 2026 blev distribueret via kompromitterede FortiClient EMS-installationer. Malwaren forklæder sig som en Fortinet endpoint-opdatering og høster adgangskoder, cookies og autofill-data fra Chrome og Firefox, inklusiv bypass-teknikker mod Chromes krypterede adgangskodelagring. De stjålne data exfiltreres via HTTP til en C2-server.
Hvornår udsendte Fortinet patchen?
Fortinet udgav advisory FG-IR-26-099 og hotfixes den 4. april 2026, tre dage efter watchTowr dokumenterede aktiv zero-day-udnyttelse den 31. marts 2026. Den permanente fix er inkluderet i FortiClient EMS 7.4.7. CISA tilføjede CVE-2026-35616 til KEV-kataloget den 6. april 2026 med en 3-dages deadline for føderale myndigheder.
Har NIS2 betydning for håndtering af denne sårbarhed?
Ja. Under NIS2-direktivet er virksomheder i kritiske og vigtige sektorer forpligtet til at håndtere kendte kritiske sårbarheder proaktivt og rapportere sikkerhedshændelser til relevante myndigheder, i Danmark Center for Cybersikkerhed (CFCS). Manglende rettidig patching af KEV-listede sårbarheder som CVE-2026-35616 kan betragtes som en overtrædelse af NIS2’s sikkerhedskrav med bøder på op til €10 mio. til følge.
Gælder risikoen for FortiClient-slutpunktssoftwaren på mine computere?
Sårbarheden sidder i FortiClient EMS-serveren, ikke i FortiClient-klientsoftwaren på endpoints. Dine slutbrugercomputere kræver ikke individuel patching for CVE-2026-35616. Dog kan EKZ Infostealer, der distribueres via en kompromitteret EMS-server, køre på alle endpoint-computere administreret af den sårbare server.
