## Vulnérabilité critique dans FortiClient EMS activement exploitée Des acteurs de la menace exploitent une faille de contrôle d'accès inapproprié, référencée **CVE-2026-35616**, dans **FortiClient EMS**. Cette vulnérabilité permet à des attaquants distants non authentifiés d'exécuter du code ou des commandes arbitraires via des requêtes spécialement conçues. Les attaques impliquent le déploiement de l'infostealer **EKZ** sous couvert d'une mise à jour légitime de **Fortinet**. **Fortinet** a reconnu l'exploitation active de la vulnérabilité début avril et a publié des correctifs d'urgence pour les versions 7.4.5 et 7.4.6. En réponse à la menace croissante, la **CISA** a émis un ordre aux agences fédérales pour patcher immédiatement leurs instances **Fortinet**. À l'époque, la **Shadowserver Foundation** avait signalé environ 2 000 instances **EMS** exposées sur Internet. ## Détails du déploiement de l'infostealer EKZ Au début du mois, des chercheurs d'**Arctic Wolf** ont découvert des attaques exploitant cette vulnérabilité pour livrer l'infostealer **EKZ**. L'intrusion initiale implique l'abus des API des endpoints pour effectuer des actions administratives sans nécessiter d'authentification. Les attaquants modifient ensuite la configuration **EMS** et les politiques VPN pour injecter l'exécution de scripts malveillants. Peu après que les endpoints établissent un tunnel IPsec vers un pare-feu **FortiGate**, le processus légitime `fortitray.exe` lance des scripts batch malveillants via l'invite de commande. Ces scripts exécutent un payload PowerShell encodé en base64 qui télécharge et exécute le malware, déguisé en patch **Fortinet**, avant d'exfiltrer des données sensibles vers un VPS contrôlé par l'attaquant via HTTP. .jpg) _Code PowerShell malveillant_ _Source : Arctic Wolf_ Selon le rapport d'**Arctic Wolf**, "Plutôt que de s'appuyer sur un leurre de malware générique, le payload a été présenté comme une mise à jour de l'endpoint **Fortinet** et exécuté via les flux de scripting VPN gérés par **FortiClient**." "Sur les endpoints affectés, les composants **FortiClient** ont lancé des scripts de commande qui ont invoqué PowerShell, téléchargé un voleur d'identifiants, exécuté celui-ci silencieusement, et exfiltré les données de navigateur collectées avant de supprimer les artefacts locaux." ## Capacités de l'infostealer EKZ L'infostealer **EKZ** cible les navigateurs web basés sur Chromium et Firefox, extrayant les données stockées dans des fichiers texte tout en contournant les protections des mots de passe chiffrés. Il collecte les identifiants, les détails de cartes de crédit, les adresses, les numéros de téléphone et les cookies, accordant potentiellement l'accès à des comptes protégés par l'authentification multi-facteurs. .jpg) _Le stealer s'exécute sans arguments_ _Source : Arctic Wolf_ ## Recommandations de détection et d'atténuation **Arctic Wolf** note que la présence de l'entrée de journal "Certificate not found in request header" suivie de "Certificate user: fortinet-ca2 … successfully updated" peut indiquer une tentative d'exploitation. Ils recommandent de surveiller les anomalies d'authentification par certificat et les changements inattendus dans les configurations de profil d'accès à distance. De plus, toute activité administrative suspecte, telle que de nouveaux comptes, des connexions provenant d'origines inconnues (Tor, adresses IP de VPS), ou des actions entraînant des modifications de configuration, doit être considérée comme un indicateur potentiel de compromission. Les organisations sont encouragées à consulter les conseils de détection complets d'**Arctic Wolf** pour aider à prévenir ces attaques.