Σημαντική ανησυχία έχει δημιουργηθεί στον τομέα της κυβερνοασφάλειας, καθώς hackers εκμεταλλεύονται ευπάθεια στον διακομιστή FortiClient Enterprise Management (EMS) με αριθμό CVE-2026-35616. Το κενό ασφαλείας επιτρέπει στους επιτιθέμενους να εγκαταστήσουν έναν κλέφτη διαπιστευτηρίων που ονομάζεται EKZ, μέσω μιας ψευδούς ενημέρωσης του FortiClient.
Οι επιτιθέμενοι χρησιμοποιούν μηχανισμούς για να προσποιούνται ότι αποστέλλουν νόμιμες ενημερώσεις λογισμικού, και μέσω ειδικά σχεδιασμένων διαδικασιών υποκλέπτουν πληροφορίες από τα τελικά σημεία των χρηστών του Fortinet.
Αυτή η καθοριστική ευπάθεια προσφέρει τη δυνατότητα σε μη επαληθευμένους χρήστες να εκτελούν αυθαίρετο κώδικα ή εντολές μέσω κακόβουλων αιτημάτων. Η Fortinet, αναγνωρίζοντας το πρόβλημα, έχει ήδη διανείμει επείγουσες επιδιορθώσεις για τις εκδόσεις 7.4.5 και 7.4.6 του λογισμικού της.
Η CISA (Cybersecurity and Infrastructure Security Agency) έχει ανταποκριθεί γρήγορα, προειδοποιώντας τις ομοσπονδιακές υπηρεσίες να ενισχύσουν την ασφάλεια τους αμέσως. Επιπλέον, η ομάδα παρακολούθησης της ασφάλειας Internet, The Shadowserver Foundation, έχει σημειώσει ότι περίπου 2.000 εγκαταστάσεις EMS ενδέχεται να έχουν εκτεθεί στο Διαδίκτυο.
Η εταιρεία κυβερνοασφάλειας Arctic Wolf αναφέρει επιθέσεις που εκμεταλλεύονται αυτή την ευπάθεια, με στόχο τη διανομή του EKZ. Οι ερευνητές παρατήρησαν ότι οι επιθέσεις εκκινούνται με την εκμετάλλευση των API του FortiClient, επιτρέποντας στους hackers να πραγματοποιούν διοικητικές ενέργειες χωρίς έλεγχο ταυτότητας.
Αμέσως μετά, οι επιτιθέμενοι τροποποιούν τις ρυθμίσεις EMS και τις πολιτικές VPN, με σκοπό να εγκαταστήσουν κακόβουλα scripts. Αμέσως μόλις τα τελικά σημεία καθορίσουν μια σήραγγα IPsec μέσω του firewall FortiGate, το νόμιμο fortitray.exe εκτελεί κακόβουλα scripts μέσω της γραμμής εντολών.
Αυτά τα scripts αξιοποιούν PowerShell για να κατεβάσουν και να εγκαταστήσουν κακόβουλο λογισμικό, το οποίο μεταμφιέζεται ως ενημέρωση του Fortinet και στη συνέχεια αποστέλλει δεδομένα σε έναν server που ελέγχεται από τους hackers μέσω HTTP.
.jpg)
Πηγή: Arctic Wolf
«Η στατηγική αυτή αξιοποιεί την ιδέα ότι οι χρήστες εμπιστεύονται τις ενημερώσεις του Fortinet, διευκολύνοντας έτσι τη διάδοση κακόβουλου λογισμικού», αναφέρει η αναφορά του Arctic Wolf. «Στα επηρεαζόμενα τερματικά, κατεβάζονται scripts που χρησιμοποιούν PowerShell, εκτελούν κλέφτες διαπιστευτηρίων και αποκαλύπτουν δεδομένα που προκύπτουν από το πρόγραμμα περιήγησης χωρίς να εντοπιστούν.»
Ο EKZ Infostealer εμφανίζει τυπική συμπεριφορά κλοπής πληροφοριών, στοχεύοντας browsers όπως το Chromium και τον Firefox. Με αυτόν τον τρόπο, συλλέγει πληροφορίες όπως αποθηκευμένα διαπιστευτήρια, στοιχεία πιστωτικών καρτών και άλλα προσωπικά δεδομένα.
.jpg)
Πηγή: Arctic Wolf
Το κακόβουλο λογισμικό αναζητά πληροφορίες, όπως διαπιστευτήρια, αριθμούς κάρτας, διευθύνσεις και cookies, που επιτρέπουν πρόσβαση σε λογαριασμούς χωρίς να καταγράφονται. Σύμφωνα με την Arctic Wolf, μία ένδειξη πιθανής εκμετάλλευσης είναι η καταγραφή της γραμμής “Το πιστοποιητικό δεν βρέθηκε στην κεφαλίδα αιτήματος”. Κατά τις δοκιμές του εργαστηρίου, αυτό το σφάλμα ακολουθήθηκε άμεσα από την καταχώριση ότι το πιστοποιητικό ενημερώθηκε με επιτυχία.
Οι ερευνητές προτείνουν στους διαχειριστές να ελέγχουν ανωμαλίες στον έλεγχο ταυτότητας πιστοποιητικών και ανεξήγητες αλλαγές στις ρυθμίσεις απομακρυσμένης πρόσβασης. Οποιαδήποτε υποψία για μη κανονική διαχείριση, όπως η δημιουργία νέων λογαριασμών ή συνδέσεις από άγνωστες IP, θα πρέπει να θεωρούνται «κόκκινες σημαίες».
Αναφορικά με τις παρατηρούμενες επιθέσεις, η έκθεση της Arctic Wolf παρέχει λεπτομερείς κατευθυντήριες γραμμές για την ανίχνευση και την αποτροπή τους.
Τα αυτοματοποιημένα εργαλεία διείσδυσης έχουν τη δυνατότητα να προσφέρουν σημαντική αξία, αλλά σχεδιάστηκαν κυρίως για να μετρήσουν την ικανότητα ενός εισβολέα να κινηθεί μέσα στο δίκτυο. Δεν εξετάζουν εάν οι προστασίες σας μπλοκάρουν απειλές ή εάν οι κανόνες ανίχνευσης ενεργοποιούνται σωστά.
Αυτός ο οδηγός καλύπτει τις 6 επιφάνειες που πρέπει οπωσδήποτε να επαληθεύσετε.
