Hackerii exploatează o vulnerabilitate FortiClient EMS pentru a distribui un program malware de tip infostealer
Sursă: https://www.bleepingcomputer.com/
Un grup de hackeri exploatează activ o vulnerabilitate critică de ocolire a autentificării (CVE-2026-35616) în FortiClient Enterprise Management Server (EMS) pentru a livra un virus de tip „credential stealer” (extractor de date de autentificare) nedocumentat anterior, numit EKZ.
Atacatorii au deghizat programul dăunător sub forma unei actualizări legitime pentru stațiile de lucru Fortinet și l-au executat prin intermediul fluxurilor de lucru pentru scripturi VPN gestionate chiar de FortiClient.
Vulnerabilitatea critică exploatată este o eroare de control necorespunzător al accesului, care permite atacatorilor de la distanță neautentificați să execute cod sau comenzi arbitrare prin intermediul unor cereri special concepute. Compania Fortinet a confirmat încă de la începutul lunii aprilie că această breșă este folosită în atacuri reale și a lansat patch-uri de urgență pentru versiunile 7.4.5 și 7.4.6 ale produsului. Agenția americană CISA a reacționat rapid la acea vreme, ordonând agențiilor federale să își securizeze sistemele, în timp ce organizația de securitate The Shadowserver Foundation raportase aproximativ 2.000 de instanțe EMS expuse pe internet.
Recent, compania de securitate cibernetică Arctic Wolf a observat atacuri care profită de această vulnerabilitate pentru a livra malware-ul EKZ. Cercetătorii notează că intruziunea începe prin abuzarea API-urilor stațiilor de lucru pentru a efectua acțiuni administrative fără autentificare. Ulterior, atacatorul modifică configurația EMS și politicile VPN pentru a introduce execuția de scripturi malițioase. La doar câteva secunde după ce stațiile de lucru stabilesc un tunel IPsec către un firewall FortiGate, procesul legitim fortitray.exe lansează scripturi batch malițioase prin Command Prompt, care descarcă infostealer-ul și transmit datele furate către un server controlat de atacatori.
Odată descărcat pe sistem, malware-ul EKZ Infostealer acționează silențios și prezintă funcționalități standard de extragere a informațiilor:
– Țintește browserele web: Acesta vizează atât browserele bazate pe Chromium, cât și Firefox, extrăgând datele salvate în fișiere text și ocolind protecțiile prin parole criptate.
– Date furate: Malware-ul colectează credențiale (nume de utilizator și parole), detalii despre cardurile de credit, adrese, numere de telefon și module cookie.
– Ocolirea MFA: Modulele cookie furate pot fi folosite de atacatori pentru a obține acces la conturi protejate prin autentificarea multifactor (MFA), fără a fi necesară logarea clasică.
Conform experților de la Arctic Wolf, un indicator clar al unei tentative de exploatare în aceste atacuri este prezența în loguri a liniei „Certificate not found in request header”, urmată la câteva secunde de înregistrarea „Certificate user: fortinet-ca2 … successfully updated”.
Prin urmare, se recomandă administratorilor de rețea să caute anomalii în autentificarea prin certificate și modificări neașteptate în configurațiile profilurilor de acces de la distanță (Remote Access Profile). Orice activitate administrativă suspectă, cum ar fi crearea de conturi noi, autentificări din surse necunoscute (Tor, IP-uri de tip VPS) sau acțiuni care duc la modificări de configurare, ar trebui tratate ca semnale de alarmă iminente.
