Μια πρόσφατα ανακάλυψη καμπάνια εκμετάλλευσης που στοχεύει τον FortiClient Endpoint Management Server (EMS) έχει αποκαλύψει μια σοβαρή ευπάθεια που επηρεάζει πολλές επιχειρήσεις, επιτρέποντας τη σιωπηλή εγκατάσταση κακόβουλου λογισμικού κλοπής διαπιστευτηρίων. Η είδηση αυτή είναι σημαντική, καθώς αφορά τη διαχείριση υποδομών που χρησιμοποιούνται ευρέως από οργανισμούς, καθιστώντας την άμεση ενασχόληση με την ασφαλή διαχείριση κρίσιμη για την προστασία ευαίσθητων δεδομένων.
Σύμφωνα με ερευνητές της Arctic Wolf, τον Μάιο του 2026 εντοπίστηκε μια μνημειώδης εκμετάλλευση της ευπάθειας CVE-2026-35616, η οποία σχετίζεται με ανεπαρκή έλεγχο πρόσβασης στο FortiClient EMS.
Αυτή η ευπάθεια επιτρέπει σε μη εξουσιοδοτημένα άτομα να παρακάμπτουν την διαδικασία πιστοποίησης API, στέλνοντας προνομιακά αιτήματα σε επηρεαζόμενα συστήματα. Έτσι, οι επιτιθέμενοι αποκτούν βασικά διαχειριστικά δικαιώματα χωρίς να διαθέτουν έγκυρα διαπιστευτήρια.
Η υποδομή του FortiClient στο στόχαστρο
Αφού οι επιτιθέμενοι απέκτησαν πρόσβαση στη διαμόρφωση EMS, τροποποίησαν το προφίλ απομακρυσμένης πρόσβασης, εισάγοντας κακόβουλα σενάρια που επηρεάζουν όλες τις διαχειριζόμενες συσκευές. Αυτό συνέβη μέσω της εκμετάλλευσης νόμιμων διαδικασιών και λειτουργιών του FortiClient EMS.
Το FortiClient EMS επιτρέπει την εκτέλεση σεναρίων κατά τη διαδικασία δημιουργίας σήραγγας VPN μέσω της εντολής on_connect, ένα χαρακτηριστικό που οι επιτιθέμενοι χρησιμοποίησαν για τους δικούς τους σκοπούς.
Κατά τη σύνδεση των τελικών σημείων μέσω της σήραγγας IPsec, το fortitray.exe ενεργοποίησε αρχεία σεναρίων .cmd που περιείχαν GUID και αποθηκεύονταν στην τυπική διαδρομή καταγραφής VPN:
C:\Program Files\Fortinet\FortiClient\logs\Trace\scripts\{GUID}.cmd
Τα σενάρια αυτά ήταν ικανά να αποκωδικοποιούν και να εκτελούν ένα κακόβουλο ωφέλιμο φορτίο PowerShell, το οποίο κατέβασε ένα κακόβουλο εκτελέσιμο αρχείο και το εκτέλεσε αθόρυβα, περιμένοντας 90 δευτερόλεπτα προτού αποστείλει τα αποτελέσματα μέσω HTTP POST σε έναν διακομιστή VPS που ελέγχεται από τους επιτιθέμενους στη διεύθυνση 83[.]138,53[.]110.
Η διαδρομή εκτέλεσης παρακολουθήθηκε ως εξής:
fortitray.exe→ipsec.exe→cmd.exe→powershell.exe→FortiEndpoint_Patch.exe
Αξιοσημείωτο είναι ότι η αρχική εκμετάλλευση φαίνεται να σχετίζεται με συνδέσεις που προήλθαν από διάφορες IP διευθύνσεις αποχώρησης Tor, όπως οι 185[.]220.101.15 και 192[.]42.116.14, μόλις δύο ώρες μετά την παράκαμψη του ελέγχου ταυτότητας API.
Το ληφθέν ωφέλιμο φορτίο αναγνωρίζεται ως FortiEndpoint_Patch.exe, ένα εκτελέσιμο αρχείο Windows που χαρακτηρίζεται ως EKZ Infostealer, το οποίο δημοσιεύθηκε για πρώτη φορά τον Μάιο του 2026 και δεν είχε αναφερθεί έως τότε.
Το EKZ στοχεύει σε προγράμματα περιήγησης όπως το Chrome και το Firefox, αναζητώντας αποθηκευμένα διαπιστευτήρια μέσω της εγγραφής του συστήματος και εισάγοντας τον εαυτό του στον κατάλογο εφαρμογών των προγραμμάτων περιήγησης.
Η εκτέλεση του EKZ περιλαμβάνει την πρόσβαση σε αρχεία όπως το key4.db και το logins.json για την εξαγωγή ευαίσθητων δεδομένων, τα οποία στη συνέχεια καταγράφονται σε αρχεία και διηθούνται σε χρονοδιάγραμμα.
Ειδικά τα κλεμμένα cookies μπορεί να οδηγήσουν σε σοβαρές παραβιάσεις ασφαλείας, καθώς μπορούν να διευκολύνουν την ανακατάληψη λογαριασμών, ακόμα και αν υπάρχουν προστασίες MFA, σημειώνεται από την Arctic Wolf.
Δείκτες συμβιβασμού
| Δείκτης | Τύπος | Περιγραφή |
|---|---|---|
83[.]138.53[.]110 |
Διεύθυνση IP | Κεντρικός υπολογιστής C2/ωφέλιμο φορτίο ελεγχόμενο από τον παράγοντα απειλής |
185[.]220.101.15 |
Διεύθυνση IP | Κόμβος εξόδου Tor που χρησιμοποιείται για σύνδεση |
192[.]42.116.14 |
Διεύθυνση IP | Κόμβος εξόδου Tor που χρησιμοποιείται για σύνδεση |
0da123adf9251957a4b850a3f6bd6a753dd4892be176a84a18450e899534cc5e |
SHA-256 | EKZ Infostealer (FortiEndpoint_Patch.exe) |
FortiEndpoint_Patch.exe / p.exe |
Όνομα αρχείου | Κακόβουλο δυαδικό που κλέβει διαπιστευτήρια |
hxxp[:]//83.138.53[.]110/dl/p.exe |
URL | URL παράδοσης ωφέλιμου φορτίου |
Μέτρα Πρόληψης
- Ενημερώστε άμεσα — Κάντε αναβάθμιση στο FortiClient EMS με ασφαλή έκδοση που αντιμετωπίζει την CVE-2026-35616.
- Περιορίστε την πρόσβαση στο διαχειριστικό πόρτα — Επιτρέψτε την πρόσβαση στη θύρα EMS 8013 μόνο από αξιόπιστες IP διευθύνσεις.
- Έλεγχος σεναρίων VPN — Επανεξετάστε τις οδηγίες
on_connectκαιscriptγια μη εξουσιοδοτημένες εγγραφές. - Αναζητήστε Διάφορα Σημάδια — Εξετάστε τα αρχεία καταγραφής των τελικών σημείων για αρχεία .cmd με GUID και ασυνήθεις αλυσίδες διαδικασίας
fortitray.exe. - Αλλαγές στα διαπιστευτήρια — Αντιμετωπίστε όλα τα διαπιστευτήρια και τα cookies λειτουργίας σε διαχειριζόμενα τελικά σημεία ως πιθανά παραβιασμένα.
Οι οργανισμοί που χρησιμοποιούν το FortiClient EMS είναι επιφορτισμένοι με την αντιμετώπιση αυτής της απειλής ως προτεραιότητα, καθώς μία μόνο παραβίαση του EMS μπορεί να εκθέσει ολόκληρο τον στόλο των διαχειριζόμενων τελικών σημείων σε κίνδυνο.
