Активни атаки срещу Fortinet инфраструктури
Киберпрестъпници активно експлоатират критичната уязвимост CVE-2026-35616 във FortiClient Enterprise Management Server, за да разпространяват неизвестен досега credential stealing malware, проследяван под името EKZ Infostealer.
Атакуващите маскират зловредния софтуер като легитимен update за Fortinet endpoint системи и го изпълняват чрез VPN scripting workflows, управлявани от FortiClient.
Уязвимостта позволява неавтентикирано изпълнение на код
CVE-2026-35616 представлява критична access control уязвимост, която позволява на отдалечени неавтентикирани атакуващи да изпълняват произволни команди чрез специално подготвени заявки.
Fortinet потвърди още през април, че уязвимостта вече се използва в реални атаки, и публикува спешни hotfix актуализации за версиите 7.4.5 и 7.4.6.
След разкриването на проблема CISA разпореди на федералните агенции в САЩ незабавно да защитят своите системи.
По същото време Shadowserver Foundation отчете приблизително 2000 интернет-достъпни EMS инстанции.
Как протича атаката
Според анализ на Arctic Wolf атаката започва чрез злоупотреба с endpoint API функционалности, които позволяват изпълнение на административни действия без автентикация.
След първоначалния достъп нападателите:
- модифицират EMS конфигурацията;
- променят VPN политиките;
- добавят изпълнение на злонамерени скриптове.
Малко след установяване на IPsec тунел към FortiGate firewall, легитимният процес fortitray.exe стартира batch скриптове чрез Command Prompt.
Тези скриптове:
- изпълняват base64-кодиран PowerShell payload;
- изтеглят malware, представен като Fortinet patch;
- стартират credential stealer-а;
- ексфилтрират данни към VPS инфраструктура, контролирана от атакуващите.
EKZ Infostealer краде browser credentials и MFA cookies
EKZ Infostealer разполага със стандартни infostealer функционалности, насочени към:
- Chromium-базирани браузъри;
- Firefox;
- съхранени credentials;
- картови данни;
- адреси и телефонни номера;
- browser cookies.
Особено опасно е, че malware-ът извлича authentication cookies, които могат да позволят достъп до акаунти, защитени с мултифакторна автентикация, без повторно логване.
Според Arctic Wolf зловредният код успява да заобикаля механизмите за криптирана защита на запазените пароли.
Какви индикатори за компрометиране трябва да се следят
Изследователите посочват няколко ключови индикатора за възможна експлоатация.
Сред тях е появата в логовете на съобщението:
Certificate not found in request header
В лабораторни тестове този запис е бил последван секунди по-късно от:
Certificate user: fortinet-ca2 … successfully updated
Това може да сигнализира за успешна злоупотреба с certificate authentication механизма.
Препоръки към организациите
Arctic Wolf препоръчва организациите да следят за:
- необичайни certificate authentication събития;
- неочаквани промени в Remote Access Profile конфигурациите;
- създаване на нови административни акаунти;
- login опити от Tor мрежи или VPS IP адреси;
- подозрителни промени в конфигурацията.
Допълнително се препоръчва:
- незабавно прилагане на Fortinet hotfix актуализациите;
- ограничаване на административния достъп;
- мониторинг на PowerShell активности;
- засилен контрол върху VPN scripting workflows;
- анализ на outbound HTTP трафик към неизвестни VPS сървъри.
Нов пример за атаките срещу периметрова инфраструктура
Кампанията показва как решенията за периметрова сигурност и remote access инфраструктурата продължават да бъдат предпочитана цел за атакуващите групи.
Особено тревожно е използването на легитимни Fortinet компоненти и VPN automation механизми за стартиране на malware, което значително усложнява откриването на атаката.
Подобни техники позволяват на нападателите да се скрият в нормалния административен трафик и да заобиколят традиционните защитни механизми.
