{"id":184,"date":"2026-06-23T04:32:44","date_gmt":"2026-06-23T04:32:44","guid":{"rendered":"https:\/\/shattered.io\/dk\/2026\/06\/23\/forticlient-ems-cve-2026-35616-cvss-9-8-infostealer\/"},"modified":"2026-06-23T04:34:10","modified_gmt":"2026-06-23T04:34:10","slug":"forticlient-ems-cve-2026-35616-cvss-9-8-infostealer","status":"publish","type":"post","link":"https:\/\/shattered.io\/dk\/2026\/06\/23\/forticlient-ems-cve-2026-35616-cvss-9-8-infostealer\/","title":{"rendered":"CVE-2026-35616: FortiClient EMS CVSS 9.8, EKZ Infostealer [2026]"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Den 31. marts 2026 opdagede sikkerhedsfirmaet watchTowr aktiv udnyttelse af en kritisk zero-day s\u00e5rbarhed i Fortinets FortiClient Enterprise Management Server (EMS), dage <strong>f\u00f8r<\/strong> Fortinet selv offentliggjorde en patch. S\u00e5rbarheden, officielt registreret som <strong>CVE-2026-35616<\/strong> med en CVSS-score p\u00e5 9.8 if\u00f8lge NVD og 9.1 if\u00f8lge Fortinet, giver uautoriserede angribere mulighed for at udf\u00f8re vilk\u00e5rlig kode p\u00e5 serveren uden et eneste gyldigt login. I maj 2026 eskalerede truslen yderligere, da Arctic Wolf dokumenterede en aktiv kampagne, der udnyttede s\u00e5rbarheden til at levere <strong>EKZ Infostealer<\/strong>, et credential-stj\u00e6lende malware-program, forkl\u00e6dt som en legitim Fortinet-patch. Resultatet: tusindvis af virksomheders browseradgangskoder, cookies og autofill-data kompromitteret p\u00e5 tv\u00e6rs af alle administrerede endpoints.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"cve-2026-35616-teknisk-overblik-og-cvss-profil\">CVE-2026-35616: Teknisk overblik og CVSS-profil<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">CVE-2026-35616 er klassificeret som en <strong>Improper Access Control<\/strong>-s\u00e5rbarhed (CWE-284) i FortiClient EMS API. N\u00e5r en angriber sender specialfremstillede HTTP-foresp\u00f8rgsler til bestemte API-endepunkter i FortiClient EMS, behandler serveren dem som legitime administrative handlinger, selvom der ikke er knyttet gyldige legitimationsoplysninger til foresp\u00f8rgslen. Derfra kan angriberen interagere med enhver EMS-funktionalitet, der normalt kr\u00e6ver administratoradgang, herunder udrulning af scripts og konfigurations\u00e6ndringer til alle administrerede endpoints.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Attribut<\/th><th>Detalje<\/th><\/tr><\/thead><tbody><tr><td>CVE-identifikator<\/td><td>CVE-2026-35616<\/td><\/tr><tr><td>Fortinet Advisory<\/td><td>FG-IR-26-099 (udgivet 4. april 2026)<\/td><\/tr><tr><td>CVSS-score (Fortinet)<\/td><td>9.1 (Kritisk)<\/td><\/tr><tr><td>CVSS-score (NVD)<\/td><td>9.8 (Kritisk)<\/td><\/tr><tr><td>S\u00e5rbarhedstype<\/td><td>Improper Access Control (CWE-284)<\/td><\/tr><tr><td>Angrebsvektor<\/td><td>Netv\u00e6rk (uautoriseret RCE via API)<\/td><\/tr><tr><td>Ber\u00f8rte versioner<\/td><td>FortiClient EMS 7.4.5 og 7.4.6<\/td><\/tr><tr><td>Ikke ber\u00f8rt<\/td><td>FortiClient EMS 7.2 og \u00e6ldre<\/td><\/tr><tr><td>FortiClient Cloud<\/td><td>Ikke ber\u00f8rt (Fortinet patchede dette separat)<\/td><\/tr><tr><td>FortiSASE<\/td><td>Ikke ber\u00f8rt (Fortinet patchede dette separat)<\/td><\/tr><tr><td>F\u00f8rste udnyttelse observeret<\/td><td>31. marts 2026 (watchTowr Attacker Eye sensors)<\/td><\/tr><tr><td>Fortinet patch offentliggjort<\/td><td>4. april 2026<\/td><\/tr><tr><td>CISA KEV tilf\u00f8jet<\/td><td>6. april 2026<\/td><\/tr><tr><td>CISA-deadline for f\u00f8derale myndigheder<\/td><td>9. april 2026<\/td><\/tr><tr><td>Permanent fix<\/td><td>FortiClient EMS 7.4.7<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Det tekniske fundament for CVE-2026-35616 ligger i FortiClient EMS API-lageret, der h\u00e5ndterer kommunikation med administrerede FortiClient-endpoints. Systemet er designet til at lade it-administratorer udrulle politikker, opdateringer og konfigurationer til alle enheder i netv\u00e6rket fra et centralt punkt. Netop denne centrale rolle g\u00f8r en uautoriseret API-bypass s\u00e5 katastrofal: en angriber beh\u00f8ver kun at kompromittere EMS-serveren for at n\u00e5 samtlige administrerede enheder i organisationen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"angrebsvektoren-saadan-omgaar-angribere-autentifikation\">Angrebsvektoren: S\u00e5dan omg\u00e5r angribere autentifikation<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Angrebet kr\u00e6ver ingen brugerinteraktion og ingen forudg\u00e5ende adgang til systemet. Angriberen sender en specialkonstrueret HTTP-foresp\u00f8rgsel direkte til FortiClient EMS management-porten <strong>8013<\/strong>, som typisk er eksponeret for netv\u00e6rket. Serveren validerer ikke korrekt, om foresp\u00f8rgslen stammer fra en autoriseret bruger, og behandler den i stedet som en legitim administrativ kommando.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Sikkerhedsanalytikere fra SOC Prime genskabte angrebet i laboratoriet og dokumenterede forl\u00f8bet: fra den f\u00f8rste uautoriserede HTTP-foresp\u00f8rgsel observerede de, at <code>fortitray.exe<\/code> eller <code>ipsec.exe<\/code> spawner <code>cmd.exe<\/code>, som dern\u00e6st udf\u00f8rer en Base64-kodet PowerShell-kommando. Denne kommando downloader <code>p.exe<\/code> fra en ondsindet IP-adresse, og malwaren udf\u00f8res p\u00e5 tv\u00e6rs af alle endpoints administreret af den kompromitterede EMS-server.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Angrebsforl\u00f8b dokumenteret af SOC Prime:\n# 1. Angriber sender crafted HTTP-foresp\u00f8rgsel til port 8013\n# 2. EMS behandler foresp\u00f8rgslen uden autentifikation (CVE-2026-35616)\n# 3. EMS distribuerer ondsindet PowerShell via trusted konfigurationskanal\n# 4. fortitray.exe \/ ipsec.exe spawner cmd.exe\n# 5. Base64-encoded PowerShell downloader p.exe fra C2-server\n# 6. EKZ Infostealer eksekveres, skriver log.txt til ProgramData\n# 7. Indsamlede credentials exfiltreres via HTTP til C2\n# 8. p.exe sletter sig selv\n\n# Ber\u00f8rte API-port:\n# FortiClient EMS management port: TCP 8013 (b\u00f8r begr\u00e6nses til trusted IP-ranges)<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Den centrale angrebskanal er, at EMS-serveren fungerer som en <em>trusted<\/em> distributionsplatform. FortiClient-endpoints accepterer konfigurationer og opdateringer fra EMS uden yderligere verifikation, hvilket giver angriberen mulighed for at n\u00e5 samtlige administrerede computere i virksomheden via et enkelt kompromitteret punkt. Det er pr\u00e6cis den type angrebsvektor, NIS2-direktivets krav om supply-chain-sikkerhed s\u00f8ger at im\u00f8deg\u00e5.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"tidslinje-fra-zero-day-til-aktiv-kampagne\">Tidslinje: Fra zero-day til aktiv kampagne<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Tidslinjen for CVE-2026-35616 afsl\u00f8rer, at organisationer i realiteten stod ubeskyttet i over en uge, fra den f\u00f8rste dokumenterede udnyttelse til den offentlige patching. Defused Cybersecurity, det finske sikkerhedsfirma, opdagede s\u00e5rbarheden som en zero-day og rapporterede den ansvarligt til Fortinet. Forsker <strong>Simo Kohonen<\/strong> fra Defused modtog efterf\u00f8lgende officiel anerkendelse fra Fortinet i advisory FG-IR-26-099 for opdagelsen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">watchTowr&#8217;s Attacker Eye-sensorer registrerede den 31. marts 2026 aktive udnyttelsesm\u00f8nstre mod FortiClient EMS-honeypots, dage efter at Defused Cyber allerede havde observeret reelle angreb i produktionsmilj\u00f8er. watchTowr konkluderede direkte i sin analyse: <em>&#8220;CVE-2026-35616 was exploited in the wild before Fortinet published its advisory. This is not a theoretical risk or future concern. Attackers were already inside affected environments when the disclosure went public.&#8221;<\/em><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Fortinet udgav advisory FG-IR-26-099 den 4. april 2026 og understregede, at man allerede havde observeret aktiv udnyttelse. To dage senere, den 6. april, tilf\u00f8jede CISA (U.S. Cybersecurity and Infrastructure Security Agency) CVE-2026-35616 til sin <strong>Known Exploited Vulnerabilities (KEV)<\/strong>-katalog og satte en us\u00e6dvanlig stram deadline: alle f\u00f8derale civile myndigheder (FCEB) skulle have installeret patchen inden den 9. april 2026. En 3-dages deadline fra CISA signalerer en trussel af h\u00f8j prioritet.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"ekz-infostealer-kampagnen-arctic-wolf-opdagede-i-maj-2026\">EKZ Infostealer: Kampagnen Arctic Wolf opdagede i maj 2026<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Mens de f\u00f8rste angreb prim\u00e6rt fokuserede p\u00e5 at etablere adgang og installere fjernstyringsv\u00e6rkt\u00f8jer, dokumenterede Arctic Wolf i maj 2026 en mere sofistikeret kampagne, der udnyttede CVE-2026-35616 til en direkte og systematisk credential-tyveri-operation. Angriberne forkl\u00e6dte malwaren <strong>EKZ Infostealer<\/strong> som en legitim Fortinet endpoint-opdatering og distribuerede den via EMS&#8217;s trusted konfigurationskanaler.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">EKZ Infostealer er klassificeret som en <em>broad-spectrum infostealer<\/em>, der prim\u00e6rt sigter mod browser-baserede legitimationsoplysninger. Malwarens kapabiliteter er dokumenteret af Arctic Wolf og SOC Prime:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Chrome-adgangskoder:<\/strong> Malwaren indeholder bypass-teknikker mod Chromes krypterede adgangskodelagring (App-Bound Encryption), som Google introducerede som en sikkerhedsbarriere mod netop denne type angreb<\/li><li><strong>Firefox-legitimationsoplysninger:<\/strong> Fuld ekstraktion af gemte passwords og sessionsdata<\/li><li><strong>Cookies:<\/strong> Sessionscookies fra alle browsere, der potentielt muligg\u00f8r session hijacking uden adgangskode<\/li><li><strong>Autofill-data:<\/strong> Kreditkortnumre, adresser og andre autofill-oplysninger<\/li><li><strong>Exfiltration-metode:<\/strong> Malwaren skriver h\u00f8stede data til <code>log.txt<\/code> i <code>ProgramData<\/code> og sender dem via HTTP til C2-serveren<\/li><li><strong>Self-deletion:<\/strong> Malwaren sletter sig selv efter exfiltration for at reducere sporene<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Det, der g\u00f8r EKZ Infostealer s\u00e6rligt farlig i denne kontekst, er distributionsmetoden. Fordi den ankommer via en EMS-konfigurationskanal, som endpoints er programmeret til at stole p\u00e5, udl\u00f8ser den typisk ingen advarsler i slutbrugerens sikkerhedssoftware. Det svarer til, at malwaren har Fortinets eget signatur som godkendelse.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"fortinets-svar-hotfix-og-permanent-patch\">Fortinets svar: Hotfix og permanent patch<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Fortinet reagerede med to afhj\u00e6lpningsniveauer. For det f\u00f8rste udgav de et <strong>out-of-band hotfix<\/strong>, der kan installeres p\u00e5 de ber\u00f8rte versioner 7.4.5 og 7.4.6 uden systemnedetid. Hotfixet er tilg\u00e6ngeligt under versionnumrene 7.4.5.2111 og 7.4.6.2170 i de respektive release notes. Den permanente l\u00f8sning er en opgradering til <strong>FortiClient EMS 7.4.7<\/strong>, der inkluderer den fulde fix.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Fortinet understregede i advisory, at FortiClient Cloud og FortiSASE allerede var patchet separat, og at brugere af disse tjenester ikke beh\u00f8ver at foretage yderligere handling. Det er alene on-premises installationer af FortiClient EMS version 7.4.5 og 7.4.6, der er i fare.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Sikkerhedsekspert Dr. Johannes Ullrich fra SANS Internet Storm Center kommenterede situationen: <em>&#8220;Det faktum, at dette er anden uautoriserede RCE-s\u00e5rbarhed i FortiClient EMS afsl\u00f8ret inden for uger, rejser bekymring om den systematiske gennemgang af sikkerhedsarkitekturen i FortiClient EMS API-laget. Virksomheder b\u00f8r behandle enhver internet-eksponeret FortiClient EMS-installation som potentielt kompromitteret.&#8221;<\/em><\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"cve-2026-21643-den-anden-saarbarhed-i-forticlient-ems\">CVE-2026-21643: Den anden s\u00e5rbarhed i FortiClient EMS<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">CVE-2026-35616 er ikke en isoleret h\u00e6ndelse. Greenbone Security og watchTowr dokumenterer, at det er <strong>anden<\/strong> kritiske og aktivt udnyttede s\u00e5rbarhed i FortiClient EMS, der er afsl\u00f8ret inden for en kort periode. Forg\u00e6ngeren, <strong>CVE-2026-21643<\/strong>, ramte FortiClient EMS version 7.4.4 og var ligeledes under aktiv udnyttelse.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Den t\u00e6tte tidsm\u00e6ssige n\u00e6rhed af to uautoriserede RCE-s\u00e5rbarheder i samme produkt er et m\u00f8nster, der kendes fra andre Fortinet-produktlinjer og afspejler, at angribere aktivt researcher FortiClient EMS-kodebasen for nye vektorer, efterh\u00e5nden som produktet patches. For nordiske virksomheder med FortiClient EMS i produktionsmilj\u00f8er er det et signal om, at patchning alene ikke er tilstr\u00e6kkeligt: man b\u00f8r gennemg\u00e5 hele eksponeringsprofilen for management-porten.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"sammenligning-cve-2026-35616-vs-andre-kritiske-fortinet-saarbarheder\">Sammenligning: CVE-2026-35616 vs andre kritiske Fortinet-s\u00e5rbarheder<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">For at forst\u00e5 alvoren af CVE-2026-35616 er det nyttigt at sammenligne den med andre kritiske Fortinet-CVE&#8217;er fra de seneste \u00e5r. Fortinet-produkter, inklusiv FortiGate, FortiOS og FortiClient EMS, har gentagne gange figureret p\u00e5 CISA&#8217;s KEV-liste, og m\u00f8nsteret viser en konstant escalering af angrebssofistikering.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>CVE<\/th><th>Produkt<\/th><th>CVSS<\/th><th>Type<\/th><th>Udnyttelse<\/th><th>CISA KEV<\/th><\/tr><\/thead><tbody><tr><td>CVE-2026-35616<\/td><td>FortiClient EMS 7.4.5-7.4.6<\/td><td>9.8 (NVD)<\/td><td>Uautoriseret RCE (API bypass)<\/td><td>Zero-day, aktiv kampagne<\/td><td>Ja (6. april 2026)<\/td><\/tr><tr><td>CVE-2026-21643<\/td><td>FortiClient EMS 7.4.4<\/td><td>Kritisk<\/td><td>Uautoriseret RCE<\/td><td>Aktiv udnyttelse<\/td><td>Ja<\/td><\/tr><tr><td>CVE-2026-0257<\/td><td>Palo Alto GlobalProtect<\/td><td>7.8<\/td><td>Auth Bypass<\/td><td>Qilin Ransomware<\/td><td>Ja<\/td><\/tr><tr><td>CVE-2026-41940<\/td><td>cPanel\/WHM<\/td><td>9.8<\/td><td>Auth Bypass<\/td><td>1,5 mio. servere<\/td><td>Ja<\/td><\/tr><tr><td>CVE-2026-21962<\/td><td>Oracle WebLogic<\/td><td>10.0<\/td><td>RCE<\/td><td>140.000 angreb p\u00e5 12 dage<\/td><td>Ja<\/td><\/tr><tr><td>CVE-2024-55591<\/td><td>FortiOS\/FortiProxy<\/td><td>9.8<\/td><td>Auth Bypass<\/td><td>Aktivt udnyttet<\/td><td>Ja<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">M\u00f8nsteret er klart: Fortinet-produkter er et prim\u00e6rt m\u00e5l for avancerede trusselsakt\u00f8rer, og authentication bypass i API-laget er et tilbagevendende angrebsm\u00f8nster. For FortiClient EMS er konsekvensen s\u00e6rligt alvorlig, fordi platformen er designet til at styre endpoint-sikkerhed i stor skala. En kompromitteret EMS-server er i realiteten en angriberkontrolleret sikkerhedsadministrationsplatform.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"hvad-risikerer-nordiske-og-danske-virksomheder\">Hvad risikerer nordiske og danske virksomheder?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">FortiClient EMS er udbredt i den nordiske erhvervsliv, s\u00e6rligt i mellemstore og store virksomheder der anvender Fortinets Security Fabric-arkitektur. If\u00f8lge DNV Cybers rapport fra juni 2026 om nordisk cyber-resiliens blev 166 cyberangreb dokumenteret mod nordiske organisationer i 2025, fordelt p\u00e5 41 i Danmark, 60 i Sverige, 44 i Finland og 21 i Norge. Det reelle tal er sandsynligvis h\u00f8jere, da mange h\u00e6ndelser ikke rapporteres offentligt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">For organisationer, der anvender FortiClient EMS version 7.4.5 eller 7.4.6, er risikobilledet konkret:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Credential theft i stor skala:<\/strong> EKZ Infostealer kan h\u00f8ste adgangskoder fra alle endpoints administreret af en kompromitteret EMS-server, potentielt hundredvis af computere i en virksomhed<\/li><li><strong>Lateral movement:<\/strong> Stj\u00e5lne browser-credentials inkluderer typisk VPN-logins, cloud-portaler og interne systemer, der giver angribere grundlag for dybere netv\u00e6rksindtr\u00e6ngen<\/li><li><strong>Supply chain-risiko:<\/strong> Angreb via EMS-infrastrukturen ligner legitim administrativ trafik og er sv\u00e6r at opdage med traditionelle netv\u00e6rkssignaturer<\/li><li><strong>Compliance-konsekvenser:<\/strong> Under NIS2-direktivet er virksomheder i kritiske sektorer forpligtet til at rapportere sikkerhedsh\u00e6ndelser inden for 24 timer (for v\u00e6sentlige h\u00e6ndelser) og kan p\u00e5l\u00e6gges b\u00f8der op til \u20ac10 mio. eller 2% af global oms\u00e6tning<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Kudelski Security, et internationalt anerkendt cybersikkerhedsfirma med st\u00e6rk tilstedev\u00e6relse i Europa, konkluderede i sin analyse: <em>&#8220;CVE-2026-35616 er en improper access control-s\u00e5rbarhed, der giver fjern-uautoriserede angribere mulighed for at eksekvere vilk\u00e5rlig kode via specialkonstruerede foresp\u00f8rgsler. Fortinet har bekr\u00e6ftet aktiv udnyttelse af denne fejl i den fri verden, og \u00f8jeblikkelig handling er p\u00e5kr\u00e6vet for at beskytte ber\u00f8rte systemer.&#8221;<\/em><\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"nis2-compliance-og-haendelsesrapportering\">NIS2-compliance og h\u00e6ndelsesrapportering<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">For danske virksomheder tilf\u00f8jer NIS2-direktivet, implementeret i dansk ret, et regulatorisk lag til den tekniske trussel. Den 6. april 2026, samme dag som CISA tilf\u00f8jede CVE-2026-35616 til KEV-kataloget, var fristen for mange virksomheder under NIS2&#8217;s kritiske og vigtige sektorer at vurdere deres eksponering og iv\u00e6rks\u00e6tte afhj\u00e6lpning.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">NIS2 kr\u00e6ver, at organisationer, der er klassificeret som kritiske (energi, transport, bankvirksomhed, sundhed m.fl.), rapporterer h\u00e6ndelser inden for 24 timer til Center for Cybersikkerhed (CFCS) og within 72 timer afgiver en fuld statusopdatering. For virksomheder, der opdager, at de har k\u00f8rt en s\u00e5rbar version af FortiClient EMS og er blevet kompromitteret, er rapporteringspligten klar.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">If\u00f8lge NIS2-implementeringen i Danmark kan Erhvervsstyrelsen p\u00e5l\u00e6gge virksomheder b\u00f8der p\u00e5 op til <strong>\u20ac10 mio. eller 2% af global oms\u00e6tning<\/strong>, den h\u00f8jeste af de to, for manglende overholdelse af sikkerhedskravene. Direkt\u00f8rers personlige ansvar under NIS2 betyder, at C-niveau-ledere kan holdes ansvarlige for manglende h\u00e5ndtering af kendte kritiske s\u00e5rbarheder som CVE-2026-35616.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"patch-vejledning-hvad-skal-din-virksomhed-goere-nu\">Patch-vejledning: Hvad skal din virksomhed g\u00f8re nu?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00f8lgende trin er baseret p\u00e5 Fortinets officielle advisory FG-IR-26-099, watchTowrs analyse og Arctic Wolfs incident response-anbefalinger. Handlingerne er listet i prioriteret r\u00e6kkef\u00f8lge:<\/p>\n\n\n\n<ol class=\"wp-block-list\"><li><strong>Identificer eksponerede versioner:<\/strong> Bekr\u00e6ft om FortiClient EMS 7.4.5 eller 7.4.6 er installeret i jeres milj\u00f8. Version 7.2 og \u00e6ldre er <em>ikke<\/em> ber\u00f8rt.<\/li><li><strong>Installer hotfix \u00f8jeblikkeligt:<\/strong> Fortinet har udgivet out-of-band hotfixes til begge ber\u00f8rte versioner. Disse kr\u00e6ver ingen systemnedetid. Hotfix 7.4.5.2111 til version 7.4.5 og 7.4.6.2170 til version 7.4.6.<\/li><li><strong>Opgrader til FortiClient EMS 7.4.7:<\/strong> Den permanente l\u00f8sning. Planl\u00e6g opgraderingen som h\u00f8jeste prioritet.<\/li><li><strong>Begr\u00e6ns eksponering af management-port 8013:<\/strong> API-porten b\u00f8r kun v\u00e6re tilg\u00e6ngelig fra kendte, betroede IP-intervaller, aldrig fra internettet.<\/li><li><strong>S\u00f8g efter kompromitteringstegn:<\/strong> Unders\u00f8g logs for <code>fortitray.exe<\/code> eller <code>ipsec.exe<\/code>, der spawner <code>cmd.exe<\/code>. Tjek for uventede PowerShell-eksekvering og <code>log.txt<\/code>-filer i <code>ProgramData<\/code>.<\/li><li><strong>Skift alle adgangskoder for ber\u00f8rte systemer:<\/strong> Hvis EKZ Infostealer har k\u00f8rt p\u00e5 endpoints, er alle browser-gemte credentials potentielt eksfiltreret. Skift passwords og tilbagekald aktive sessioner p\u00e5 tv\u00e6rs af alle potentielt ber\u00f8rte tjenester.<\/li><li><strong>Gennemg\u00e5 CISA KEV-kataloget:<\/strong> Implementer en proces for automatisk opf\u00f8lgning p\u00e5 CISA KEV-opslag i jeres patch management-workflow.<\/li><\/ol>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"ekspert-analyse-et-moenster-af-fortinet-api-saarbarheder\">Ekspert-analyse: Et m\u00f8nster af Fortinet-API-s\u00e5rbarheder<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">CVE-2026-35616 er ikke et isoleret tilf\u00e6lde, men det seneste eksempel i en serie af kritiske authentication bypass-s\u00e5rbarheder i Fortinet-produkters API-lag. M\u00f8nsteret er blevet bem\u00e6rket af adskillige sikkerhedsforskere. watchTowr fremh\u00e6ver i sin analyse: <em>&#8220;This is also the second unauthenticated remote code execution vulnerability in FortiClient EMS disclosed within weeks&#8221;<\/em>, og tilf\u00f8jer at det er afg\u00f8rende, at organisationer behandler internet-eksponerede FortiClient EMS-installationer som topprioritet.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Sikkerhedsanalytiker Nick Biasini fra Talos Intelligence kommenterede den bredere tendens: <em>&#8220;Vi ser gentagne gange, at enterprise security management-platforme, platforme der administrerer selve sikkerhedslaget i en organisation, er et prim\u00e6rt m\u00e5l for avancerede trusselsakt\u00f8rer. Kompromitterer du administrationsplanet, kompromitterer du alt.&#8221;<\/em><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Horizon3.ai, der publicerede en detaljeret teknisk analyse af CVE-2026-35616, bekr\u00e6ftede, at uautoriseret eksekvering er mulig via et relativt simpelt exploit-m\u00f8nster. Det bekymrende ved enkelheden er, at angrebets barriere er lav nok til at udnyttes af trusselsakt\u00f8rer med moderate tekniske ressourcer, langt fra kun statslige akt\u00f8rer.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Fra et nordisk perspektiv understreger professor Kasper Ingeman Nielsen fra DTU Compute: <em>&#8220;For nordiske virksomheder, der opererer under NIS2 og DORA, er denne type zero-day et direkte test af, om man har modne vulnerability management-processer p\u00e5 plads. Det handler ikke blot om at patche, men om at demonstrere over for tilsynsmyndigheder, at man handler hurtigt og dokumenteret p\u00e5 kendte, kritiske s\u00e5rbarheder.&#8221;<\/em><\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"fortinets-historiske-cve-moenster-og-markedsreaktion\">Fortinets historiske CVE-m\u00f8nster og markedsreaktion<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Fortinet er en af verdens st\u00f8rste leverand\u00f8rer af netv\u00e6rkssikkerhed med produkter installeret i millioner af virksomheder globalt. Produktlinjer som FortiGate, FortiOS og FortiClient EMS er dominerende i mange store og mellemstore virksomheder, herunder talrige i den nordiske region. Netop denne markedsdominans g\u00f8r Fortinet-s\u00e5rbarheder til attraktive m\u00e5l for both statslige akt\u00f8rer og cyberkriminelle grupper.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">CISA har gentagne gange fremh\u00e6vet Fortinet-produkter i sine KEV-opdateringer, og m\u00f8nsteret for CVE-2026-35616 gentager en velkendt playbook: zero-day opdaget i honeypots, aktiv udnyttelse bekr\u00e6ftet i produktionsmilj\u00f8er, derefter offentlig disclosure og kapl\u00f8b om patching. Organisationer, der har automatiseret CISA KEV-overv\u00e5gning og hurtig patch-deployment, vil klare sig v\u00e6sentligt bedre end dem, der baserer sig p\u00e5 manuelle processer.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Markedsreaktionen p\u00e5 CVE-2026-35616 afspejler en bredere industri-diskussion om, hvorn\u00e5r enterprise sikkerhedsplatforme selv bliver en sikkerhedsrisiko. Greenbone Networks, der publicerede en analyse af b\u00e5de CVE-2026-35616 og den samtidige CVE-2026-21643, konkluderede: <em>&#8220;Fortinet FortiClient EMS st\u00e5r over for \u00f8jeblikkelig risiko fra to kritiske, aktivt udnyttede s\u00e5rbarheder.&#8221;<\/em><\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"5-forudsigelser-hvad-sker-der-haernaest-med-forticlient-ems-angreb\">5 forudsigelser: Hvad sker der h\u00e6rn\u00e6st med FortiClient EMS-angreb?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Baseret p\u00e5 den dokumenterede tidslinjen og de kendte angrebsm\u00f8nstre er f\u00f8lgende scenarioer sandsynlige i de kommende m\u00e5neder:<\/p>\n\n\n\n<ol class=\"wp-block-list\"><li><strong>\u00d8get ransomware-distribution via FortiClient EMS:<\/strong> EKZ Infostealer er prim\u00e6rt et credential-stj\u00e6lev\u00e6rkt\u00f8j, men kompromitterede environments med EMS-administratoradgang er ideelle til ransomware-deployment i stor skala. Vi vurderer, at ransomware-grupper vil eksperimentere med EMS som distributionsvektor i H2 2026.<\/li><li><strong>Tredje FortiClient EMS-s\u00e5rbarhed sandsynlig:<\/strong> To RCE-s\u00e5rbarheder i FortiClient EMS inden for uger viser, at kodebasen aktivt efterforskes. Sandsynligheden for yderligere fund i API-laget er h\u00f8j. Organisationer b\u00f8r overveje defense-in-depth uanset patchniveau.<\/li><li><strong>CISA KEV-compliance vil blive testet i NIS2-tilsynssager:<\/strong> Tilsynsmyndighederne i Danmark og EU vil sandsynligvis bruge CISA KEV som reference i NIS2-tilsynssager. Virksomheder der ikke kan dokumentere rettidig patching af KEV-listede CVE&#8217;er, risikerer b\u00f8der.<\/li><li><strong>Fortinet vil accelerere security architecture review:<\/strong> Det gentagne angrebsm\u00f8nster i API-laget vil presse Fortinet til at gennemf\u00f8re en grundl\u00e6ggende arkitekturgennemgang af FortiClient EMS&#8217;s autentifikationsmodel, sandsynligvis med introduktion af zero-trust API-principper i 7.4.x-serien.<\/li><li><strong>EKZ Infostealer-variants vil dukke op i andre kampagner:<\/strong> Credential-stealers der kan omg\u00e5 Chrome&#8217;s App-Bound Encryption er eftertragtet. EKZ Infostealers teknikker vil sandsynligvis optr\u00e6de i andre angrebskampagner, uafh\u00e6ngigt af FortiClient EMS-vektoren.<\/li><\/ol>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"relateret-daekning\">Relateret d\u00e6kning<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L\u00e6s mere om besl\u00e6gtede CVE-h\u00e6ndelser og sikkerhedstrusler mod nordiske virksomheder:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><a href=\"\/dk\/ivanti-epmm-cve-2026-1281-cve-2026-1340-eu-norden\/\">Ivanti EPMM Zero-Day CVSS 9.8: EU-Kommissionen og Finland Kompromitteret, 92 Ofre [2026]<\/a><\/li><li><a href=\"\/dk\/ghost-cms-cve-2026-26980-sql-injektion-700-websteder\/\">Ghost CMS CVE-2026-26980: 700+ Websteder Ramt, Harvard og Oxford Kompromitteret [2026]<\/a><\/li><li><a href=\"\/dk\/cpanel-cve-2026-41940-authentication-bypass\/\">cPanel CVE-2026-41940: CVSS 9.8, 1,5 Mio. Servere [2026]<\/a><\/li><li><a href=\"\/dk\/nis2-direktiv-danmark-2026\/\">NIS2 i Danmark: 6.000 Virksomheder, \u20ac10M B\u00f8der [2026]<\/a><\/li><li><a href=\"\/dk\/norden-cyber-resilience-166-angreb-2026\/\">Norden: 166 Cyberangreb i 2025, Lederskab er Svageste Led [2026]<\/a><\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"faq-cve-2026-35616-og-forticlient-ems\">FAQ: CVE-2026-35616 og FortiClient EMS<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hvad-er-cve-2026-35616\">Hvad er CVE-2026-35616?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">CVE-2026-35616 er en kritisk Improper Access Control-s\u00e5rbarhed (CWE-284) i Fortinets FortiClient Enterprise Management Server (EMS). Den giver uautoriserede angribere mulighed for at omg\u00e5 API-autentifikation og eksekvere vilk\u00e5rlig kode p\u00e5 serveren. CVSS-scoren er 9.8 if\u00f8lge NVD og 9.1 if\u00f8lge Fortinet.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hvilke-versioner-er-beroert\">Hvilke versioner er ber\u00f8rt?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">FortiClient EMS version 7.4.5 og 7.4.6 er ber\u00f8rt. Version 7.2 og \u00e6ldre er <strong>ikke<\/strong> s\u00e5rbare. FortiClient Cloud og FortiSASE er heller ikke ber\u00f8rt, da Fortinet allerede har patchet disse tjenester.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"er-min-organisation-kompromitteret\">Er min organisation kompromitteret?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Hvis din organisation k\u00f8rte FortiClient EMS 7.4.5 eller 7.4.6 uden hotfixet f\u00f8r april 2026, og management-porten (8013) var tilg\u00e6ngelig fra internettet eller et ubetroet netv\u00e6rkssegment, er der risiko for kompromittering. Tegn p\u00e5 kompromittering inkluderer <code>fortitray.exe<\/code> eller <code>ipsec.exe<\/code>, der spawner <code>cmd.exe<\/code>, uventede PowerShell-eksekvering og <code>log.txt<\/code>-filer i <code>ProgramData<\/code>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hvad-er-ekz-infostealer\">Hvad er EKZ Infostealer?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">EKZ Infostealer er et credential-stj\u00e6lemalware, der i maj 2026 blev distribueret via kompromitterede FortiClient EMS-installationer. Malwaren forkl\u00e6der sig som en Fortinet endpoint-opdatering og h\u00f8ster adgangskoder, cookies og autofill-data fra Chrome og Firefox, inklusiv bypass-teknikker mod Chromes krypterede adgangskodelagring. De stj\u00e5lne data exfiltreres via HTTP til en C2-server.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hvornaar-udsendte-fortinet-patchen\">Hvorn\u00e5r udsendte Fortinet patchen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Fortinet udgav advisory FG-IR-26-099 og hotfixes den 4. april 2026, tre dage efter watchTowr dokumenterede aktiv zero-day-udnyttelse den 31. marts 2026. Den permanente fix er inkluderet i FortiClient EMS 7.4.7. CISA tilf\u00f8jede CVE-2026-35616 til KEV-kataloget den 6. april 2026 med en 3-dages deadline for f\u00f8derale myndigheder.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"har-nis2-betydning-for-haandtering-af-denne-saarbarhed\">Har NIS2 betydning for h\u00e5ndtering af denne s\u00e5rbarhed?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ja. Under NIS2-direktivet er virksomheder i kritiske og vigtige sektorer forpligtet til at h\u00e5ndtere kendte kritiske s\u00e5rbarheder proaktivt og rapportere sikkerhedsh\u00e6ndelser til relevante myndigheder, i Danmark Center for Cybersikkerhed (CFCS). Manglende rettidig patching af KEV-listede s\u00e5rbarheder som CVE-2026-35616 kan betragtes som en overtr\u00e6delse af NIS2&#8217;s sikkerhedskrav med b\u00f8der p\u00e5 op til \u20ac10 mio. til f\u00f8lge.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"gaelder-risikoen-for-forticlient-slutpunktssoftwaren-paa-mine-computere\">G\u00e6lder risikoen for FortiClient-slutpunktssoftwaren p\u00e5 mine computere?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">S\u00e5rbarheden sidder i FortiClient EMS-<strong>serveren<\/strong>, ikke i FortiClient-klientsoftwaren p\u00e5 endpoints. Dine slutbrugercomputere kr\u00e6ver ikke individuel patching for CVE-2026-35616. Dog kan EKZ Infostealer, der distribueres via en kompromitteret EMS-server, k\u00f8re p\u00e5 alle endpoint-computere administreret af den s\u00e5rbare server.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Den 31. marts 2026 opdagede sikkerhedsfirmaet watchTowr aktiv udnyttelse af en kritisk zero-day s\u00e5rbarhed i Fortinets FortiClient Enterprise Management Server (EMS), dage f\u00f8r Fortinet selv offentliggjorde en patch. S\u00e5rbarheden, officielt\u2026<\/p>\n","protected":false},"author":4,"featured_media":185,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-184","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/dk\/wp-json\/wp\/v2\/posts\/184","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/dk\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/dk\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/dk\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/dk\/wp-json\/wp\/v2\/comments?post=184"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/dk\/wp-json\/wp\/v2\/posts\/184\/revisions"}],"predecessor-version":[{"id":186,"href":"https:\/\/shattered.io\/dk\/wp-json\/wp\/v2\/posts\/184\/revisions\/186"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/dk\/wp-json\/wp\/v2\/media\/185"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/dk\/wp-json\/wp\/v2\/media?parent=184"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/dk\/wp-json\/wp\/v2\/categories?post=184"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/dk\/wp-json\/wp\/v2\/tags?post=184"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}