## Kritische Schwachstelle in FortiClient EMS aktiv ausgenutzt Bedrohungsakteure nutzen eine fehlerhafte Zugriffskontrolle, verfolgt als **CVE-2026-35616**, in **FortiClient EMS** aus. Diese Schwachstelle ermöglicht es nicht authentifizierten entfernten Angreifern, beliebigen Code oder Befehle über speziell präparierte Anfragen auszuführen. Die Angriffe beinhalten die Bereitstellung des **EKZ** Infostealers unter dem Deckmantel eines legitimen **Fortinet**-Updates. **Fortinet** bestätigte die aktive Ausnutzung der Schwachstelle Anfang April und veröffentlichte Notfall-Hotfixes für die Versionen 7.4.5 und 7.4.6. Als Reaktion auf die eskalierende Bedrohung gab die **CISA** eine Anordnung an Bundesbehörden heraus, ihre **Fortinet**-Instanzen umgehend zu patchen. Zu diesem Zeitpunkt berichtete die **The Shadowserver Foundation** von etwa 2.000 im Internet exponierten **EMS**-Instanzen. ## Details zur Bereitstellung des EKZ Infostealers Anfang dieses Monats deckten Forscher von **Arctic Wolf** Angriffe auf, die diese Schwachstelle ausnutzten, um den **EKZ** Infostealer zu liefern. Die anfängliche Kompromittierung beinhaltet den Missbrauch von Endpunkt-APIs, um administrative Aktionen durchzuführen, ohne eine Authentifizierung zu erfordern. Angreifer modifizieren dann die **EMS**-Konfiguration und VPN-Richtlinien, um die Ausführung von bösartigem Skript zu injizieren. Kurz nachdem Endpunkte einen IPsec-Tunnel zu einer **FortiGate**-Firewall aufgebaut haben, startet der legitime Prozess `fortitray.exe` über die Eingabeaufforderung bösartige Batch-Skripte. Diese Skripte führen eine base64-codierte PowerShell-Nutzlast aus, die die Malware herunterlädt und ausführt, getarnt als **Fortinet**-Patch, bevor sensible Daten über HTTP an einen vom Angreifer kontrollierten VPS exfiltriert werden. .jpg) _Bösartiger PowerShell-Code_ _Quelle: Arctic Wolf_ Laut dem Bericht von **Arctic Wolf**: "Anstatt sich auf einen generischen Malware-Köder zu verlassen, wurde die Nutzlast als **Fortinet**-Endpunkt-Update präsentiert und über **FortiClient**-verwaltete VPN-Skripting-Workflows ausgeführt." "Auf betroffenen Endpunkten starteten **FortiClient**-Komponenten Befehlsskripte, die PowerShell aufriefen, einen Anmeldedatendieb herunterluden, ihn lautlos ausführten und geerntete Browserdaten exfiltrierten, bevor lokale Artefakte entfernt wurden." ## Fähigkeiten des EKZ Infostealers Der **EKZ** Infostealer zielt auf Chromium-basierte und Firefox-Webbrowser ab und extrahiert gespeicherte Daten in Textdateien, während er verschlüsselte Passwortschutzmaßnahmen umgeht. Er sammelt Anmeldedaten, Kreditkartendetails, Adressen, Telefonnummern und Cookies, was potenziell den Zugriff auf Konten ermöglicht, die durch Multi-Faktor-Authentifizierung geschützt sind. .jpg) _Stealer wird ohne Argumente ausgeführt_ _Quelle: Arctic Wolf_ ## Empfehlungen zur Erkennung und Eindämmung **Arctic Wolf** stellt fest, dass das Vorhandensein des Log-Eintrags "Zertifikat nicht im Anforderungsheader gefunden" gefolgt von "Zertifikatsbenutzer: fortinet-ca2 … erfolgreich aktualisiert" auf einen Ausnutzungsversuch hindeuten kann. Sie empfehlen die Überwachung von Anomalien bei der Zertifikatsauthentifizierung und unerwarteten Änderungen an den Konfigurationen von Remote Access Profiles. Darüber hinaus sollte jede verdächtige administrative Aktivität, wie z. B. neue Konten, Anmeldungen von unbekannten Ursprüngen (Tor, VPS-IP-Adressen) oder Aktionen, die zu Konfigurationsänderungen führen, als potenzieller Indikator für eine Kompromittierung behandelt werden. Organisationen werden ermutigt, die umfassende Erkennungsanleitung von **Arctic Wolf** zu prüfen, um diese Angriffe zu verhindern.