## FortiClient EMS の重大な脆弱性が現在悪用されている 脅威アクターは、**FortiClient EMS** における不適切なアクセス制御の欠陥、**CVE-2026-35616** を悪用しています。この脆弱性により、認証されていないリモート攻撃者は、特別に細工されたリクエストを通じて任意のコードまたはコマンドを実行できます。攻撃は、正規の **Fortinet** アップデートを装って **EKZ** インフォスティーラーを展開することを含みます。 **Fortinet** は 4 月初旬にこの脆弱性が積極的に悪用されていることを認め、バージョン 7.4.5 および 7.4.6 用の緊急ホットフィックスをリリースしました。 エスカレートする脅威に対応するため、**CISA** は連邦機関に対し、**Fortinet** インスタンスを直ちにパッチ適用するよう命令を発令しました。当時、**The Shadowserver Foundation** は、約 2,000 のインターネットに公開された **EMS** インスタンスを報告していました。 ## EKZ インフォスティーラー展開の詳細 今月初め、**Arctic Wolf** の研究者は、この脆弱性を悪用して **EKZ** インフォスティーラーを配信する攻撃を発見しました。初期侵入には、認証を必要とせずに管理アクションを実行するためにエンドポイント API を悪用することが含まれます。 攻撃者は次に **EMS** の設定と VPN ポリシーを変更して、悪意のあるスクリプト実行を注入します。エンドポイントが **FortiGate** ファイアウォールへの IPsec トンネルを確立した直後に、正規の `fortitray.exe` プロセスがコマンドプロンプト経由で悪意のあるバッチスクリプトを起動します。 これらのスクリプトは、ベース64 エンコードされた PowerShell ペイロードを実行し、正規の **Fortinet** パッチを装ったマルウェアをダウンロードして実行してから、HTTP 経由で攻撃者が制御する VPS に機密データを流出させます。 .jpg) _悪意のある PowerShell コード_ _出典：Arctic Wolf_ **Arctic Wolf** のレポートによると、「汎用的なマルウェアの誘い文句に頼るのではなく、ペイロードは **Fortinet** エンドポイントアップデートとして提示され、**FortiClient** 管理の VPN スクリプティングワークフローを通じて実行されました。」 「影響を受けたエンドポイントでは、**FortiClient** コンポーネントがコマンドスクリプトを起動し、PowerShell を呼び出し、認証情報窃盗犯をダウンロードし、それをサイレントに実行し、ローカルアーティファクトを削除する前に収集されたブラウザデータを流出させました。」 ## EKZ インフォスティーラーの機能 **EKZ** インフォスティーラーは、Chromium ベースおよび Firefox の両方の Web ブラウザを対象とし、暗号化されたパスワード保護をバイパスしながら、保存されたデータをテキストファイルに抽出します。認証情報、クレジットカードの詳細、住所、電話番号、Cookie を収集し、多要素認証で保護されたアカウントへのアクセスを許可する可能性があります。 .jpg) _引数なしで実行されるスティラー_ _出典：Arctic Wolf_ ## 検知と緩和策の推奨事項 **Arctic Wolf** は、「リクエストヘッダーに証明書が見つかりません」というログエントリに続いて「証明書ユーザー：fortinet-ca2 …正常に更新されました」というログエントリが存在する場合、悪用試行の可能性を示す可能性があると指摘しています。証明書認証の異常やリモートアクセスプロファイル構成の予期しない変更を監視することを推奨しています。 さらに、新しいアカウント、見慣れない場所からのログイン（Tor、VPS IP アドレス）、または構成変更につながるアクションなどの不審な管理アクティビティは、侵害の可能性のある兆候として扱う必要があります。 組織は、これらの攻撃を防ぐための包括的な検知ガイダンスについて **Arctic Wolf** を参照することを推奨します。