Peretas mengeksploitasi kelemahan FortiClient EMS untuk mendorong malware infostealer

Peretas mengeksploitasi kerentanan bypass otentikasi (CVE-2026-35616) di FortiClient Enterprise Management Server (EMS) untuk mengirimkan pencuri kredensial tidak berdokumen yang disebut EKZ.

Penyerang menyamarkan malware sebagai pembaruan untuk titik akhir Fortinet dan mengeksekusinya melalui alur kerja skrip VPN yang dikelola oleh FortiClient.

Kerentanan kritis yang dieksploitasi adalah kelemahan kontrol akses yang tidak tepat yang memungkinkan penyerang jarak jauh yang tidak diautentikasi mengeksekusi kode atau perintah arbitrer melalui permintaan yang dibuat khusus.

Fortinet dikonfirmasi pada awal April saat itu dieksploitasi dan merilis perbaikan terbaru darurat untuk produk versi 7.4.5 dan 7.4.6.

CISA bereaksi cepat terhadap aktivitas jahat tersebut dan memerintahkan badan-badan federal untuk mengamankan kasus mereka pada akhir minggu itu, sementara kelompok pengawas keamanan internet The Shadowserver Foundation melaporkan pada saat itu bahwa mereka melihat 2.000 kasus EMS yang terpapar internet.

Awal bulan ini, perusahaan keamanan siber Arctic Wolf mengamati serangan yang memanfaatkan kerentanan untuk mengirimkan pencuri informasi EKZ. Para peneliti mencatat bahwa intrusi dimulai dengan penyalahgunaan API titik akhir untuk melakukan tindakan administratif tanpa otentikasi.

Penyerang kemudian mengubah konfigurasi EMS dan kebijakan VPN untuk melakukan eksekusi skrip berbahaya. Beberapa detik setelah titik akhir membuat terowongan IPsec ke firewall FortiGate, fortitray.exe yang sah meluncurkan skrip batch berbahaya melalui Command Prompt.

Skrip tersebut mengeksekusi payload PowerShell berkode base64 yang mengunduh dan menjalankan malware yang disamarkan sebagai patch Fortinet, kemudian menyaring data ke VPS yang dikendalikan penyerang melalui HTTP.

“Daripada mengandalkan iming-iming malware umum, muatannya disajikan sebagai pembaruan titik akhir Fortinet dan dieksekusi melalui alur kerja skrip VPN yang dikelola FortiClient,” demikian bunyinya. laporan dari Serigala Arktik.

“Pada titik akhir yang terpengaruh, komponen FortiClient meluncurkan skrip perintah yang memanggil PowerShell, mengunduh pencuri kredensial, mengeksekusinya secara diam-diam, dan menyaring data browser yang diambil sebelum menghapus artefak lokal.”

Payload yang diunduh, dilacak sebagai EKZ Infostealer, memiliki fungsi pencurian informasi yang cukup standar. Ini menargetkan browser web berbasis Chromium dan Firefox dan mengekstrak data yang disimpan ke file teks sambil melewati perlindungan kata sandi terenkripsi.

Malware ini menargetkan kredensial, detail kartu kredit, alamat, nomor telepon, dan cookie, yang menyediakan akses ke akun yang dilindungi oleh autentikasi multi-faktor tanpa mencatatnya.

Menurut Arctic Wolf, salah satu indikasi upaya eksploitasi dalam serangan yang mengirimkan infostealer EKZ adalah adanya baris “Sertifikat tidak ditemukan di header permintaan” di log. Dalam pengujian laboratorium, kesalahan tersebut dalam hitungan detik diikuti oleh entri lain: Pengguna sertifikat: fortinet-ca2 … berhasil diperbarui

Oleh karena itu, para peneliti merekomendasikan para pembela HAM untuk mencari anomali otentikasi sertifikat dan perubahan tak terduga pada konfigurasi Profil Akses Jarak Jauh.

Aktivitas administratif apa pun yang mencurigakan, seperti akun baru, login dengan asal yang tidak dikenal (Tor, alamat IP VPS), atau tindakan yang menyebabkan perubahan konfigurasi, harus dianggap sebagai tanda bahaya.

Laporan Arctic Wolf memberikan panduan deteksi ekstensif yang dapat membantu organisasi mencegah serangan yang teramati.