## Vulnerabilidad Crítica en FortiClient EMS Bajo Explotación Activa Los actores de amenazas están aprovechando una falla de control de acceso inadecuado, rastreada como **CVE-2026-35616**, en **FortiClient EMS**. Esta vulnerabilidad permite a atacantes remotos no autenticados ejecutar código o comandos arbitrarios a través de solicitudes especialmente diseñadas. Los ataques implican la distribución del infostealer **EKZ** bajo el pretexto de una actualización legítima de **Fortinet**. **Fortinet** reconoció la explotación activa de la vulnerabilidad a principios de abril y lanzó hotfixes de emergencia para las versiones 7.4.5 y 7.4.6. En respuesta a la creciente amenaza, **CISA** emitió una orden para que las agencias federales parchearan sus instancias de **Fortinet** de inmediato. En ese momento, **The Shadowserver Foundation** reportó aproximadamente 2,000 instancias de **EMS** expuestas a Internet. ## Detalles de la Distribución del Infostealer EKZ A principios de este mes, investigadores de **Arctic Wolf** descubrieron ataques que explotaban esta vulnerabilidad para entregar el infostealer **EKZ**. La intrusión inicial implica el abuso de las APIs de endpoint para realizar acciones administrativas sin requerir autenticación. Los atacantes luego modifican la configuración de **EMS** y las políticas de VPN para inyectar la ejecución de scripts maliciosos. Poco después de que los endpoints establecen un túnel IPsec a un firewall **FortiGate**, el proceso legítimo `fortitray.exe` lanza scripts batch maliciosos a través del símbolo del sistema. Estos scripts ejecutan un payload de PowerShell codificado en base64 que descarga y ejecuta el malware, disfrazado como un parche de **Fortinet**, antes de exfiltrar datos sensibles a un VPS controlado por el atacante a través de HTTP. .jpg) _Código malicioso de PowerShell_ _Fuente: Arctic Wolf_ Según el informe de **Arctic Wolf**, "En lugar de depender de un señuelo de malware genérico, el payload se presentó como una actualización de endpoint de **Fortinet** y se ejecutó a través de flujos de trabajo de scripting VPN gestionados por **FortiClient**." "En los endpoints afectados, los componentes de **FortiClient** lanzaron scripts de comandos que invocaron PowerShell, descargaron un ladrón de credenciales, lo ejecutaron silenciosamente y exfiltraron datos del navegador recolectados antes de eliminar artefactos locales." ## Capacidades del Infostealer EKZ El Infostealer **EKZ** se dirige tanto a navegadores web basados en Chromium como a Firefox, extrayendo datos almacenados en archivos de texto mientras omite las protecciones de contraseñas cifradas. Recolecta credenciales, detalles de tarjetas de crédito, direcciones, números de teléfono y cookies, lo que potencialmente otorga acceso a cuentas protegidas por autenticación multifactor. .jpg) _El stealer se ejecuta sin argumentos_ _Fuente: Arctic Wolf_ ## Recomendaciones de Detección y Mitigación **Arctic Wolf** señala que la presencia de la entrada de registro "Certificado no encontrado en la cabecera de la solicitud" seguida de "Usuario del certificado: fortinet-ca2 … actualizado con éxito" puede indicar un intento de explotación. Recomiendan monitorear anomalías en la autenticación de certificados y cambios inesperados en las configuraciones del Perfil de Acceso Remoto. Además, cualquier actividad administrativa sospechosa, como nuevas cuentas, inicios de sesión desde orígenes desconocidos (Tor, direcciones IP de VPS) o acciones que conduzcan a cambios de configuración, debe tratarse como indicadores potenciales de compromiso. Se alienta a las organizaciones a revisar la guía de detección integral de **Arctic Wolf** para ayudar a prevenir estos ataques.