## Vulnerabilidade Crítica no FortiClient EMS Sob Exploração Ativa Atores de ameaças estão aproveitando uma falha de controle de acesso inadequado, rastreada como **CVE-2026-35616**, no **FortiClient EMS**. Essa vulnerabilidade permite que atacantes remotos não autenticados executem código ou comandos arbitrários por meio de requisições especialmente elaboradas. Os ataques envolvem a implantação do infostealer **EKZ** sob o disfarce de uma atualização legítima da **Fortinet**. A **Fortinet** reconheceu a exploração ativa da vulnerabilidade no início de abril e lançou hotfixes de emergência para as versões 7.4.5 e 7.4.6. Em resposta à ameaça crescente, a **CISA** emitiu uma ordem para que agências federais corrigissem suas instâncias **Fortinet** imediatamente. Na época, a **The Shadowserver Foundation** relatou aproximadamente 2.000 instâncias **EMS** expostas à internet. ## Detalhes da Implantação do EKZ Infostealer No início deste mês, pesquisadores da **Arctic Wolf** descobriram ataques explorando essa vulnerabilidade para entregar o infostealer **EKZ**. A intrusão inicial envolve o abuso de APIs de endpoint para realizar ações administrativas sem a necessidade de autenticação. Os atacantes, então, modificam a configuração do **EMS** e as políticas de VPN para injetar a execução de scripts maliciosos. Logo após os endpoints estabelecerem um túnel IPsec para um firewall **FortiGate**, o processo legítimo `fortitray.exe` inicia scripts batch maliciosos através do prompt de comando. Esses scripts executam um payload PowerShell codificado em base64 que baixa e executa o malware, disfarçado como um patch da **Fortinet**, antes de exfiltrar dados sensíveis para um VPS controlado pelo atacante via HTTP. .jpg) _Código PowerShell malicioso_ _Fonte: Arctic Wolf_ De acordo com o relatório da **Arctic Wolf**, "Em vez de depender de um chamariz de malware genérico, o payload foi apresentado como uma atualização de endpoint da **Fortinet** e executado através de fluxos de trabalho de script VPN gerenciados pelo **FortiClient**". "Em endpoints afetados, componentes do **FortiClient** iniciaram scripts de comando que invocaram o PowerShell, baixaram um roubador de credenciais, o executaram silenciosamente e exfiltraram dados de navegador coletados antes de remover artefatos locais." ## Capacidades do EKZ Infostealer O **EKZ** Infostealer tem como alvo navegadores web baseados em Chromium e Firefox, extraindo dados armazenados em arquivos de texto enquanto contorna proteções de senhas criptografadas. Ele coleta credenciais, detalhes de cartão de crédito, endereços, números de telefone e cookies, potencialmente concedendo acesso a contas protegidas por autenticação multifator. .jpg) _Stealer executa sem argumentos_ _Fonte: Arctic Wolf_ ## Recomendações de Detecção e Mitigação A **Arctic Wolf** observa que a presença da entrada de log "Certificate not found in request header" seguida por "Certificate user: fortinet-ca2 … successfully updated" pode indicar uma tentativa de exploração. Eles recomendam monitorar anomalias de autenticação de certificado e alterações inesperadas nas configurações do Perfil de Acesso Remoto. Além disso, qualquer atividade administrativa suspeita, como novas contas, logins de origens desconhecidas (Tor, IPs de VPS) ou ações que levem a alterações de configuração, deve ser tratada como indicadores potenciais de comprometimento. As organizações são incentivadas a revisar as orientações de detecção abrangentes da **Arctic Wolf** para ajudar a prevenir esses ataques.