مهاجمان سایبری از آسیبپذیری FortiClient EMS با شناسه CVE-2026-35616 برای توزیع یک بدافزار سرقت اطلاعات به نام EKZ سوءاستفاده میکنند. بررسیهای جدید نشان میدهد مهاجمان این بدافزار را در قالب یک بهروزرسانی جعلی Fortinet منتشر کردهاند و از پروسههای معتبر VPN برای اجرای آن روی سیستمهای قربانی بهره میبرند.
جزئیات آسیبپذیری FortiClient EMS
آسیبپذیری FortiClient EMS ناشی از ضعف در کنترل دسترسی است. این نقص به مهاجمان اجازه میدهد بدون احراز هویت، کد یا دستورات دلخواه خود را از راه دور اجرا کنند. مهاجمان برای انجام این حملات از درخواستهای دستکاریشده استفاده میکنند.
شرکت فورتینت (Fortinet) در اوایل آوریل 2026 تأیید کرد که مهاجمان سایبری از این نقص امنیتی بهصورت فعال سوءاستفاده میکنند. این شرکت پس از شناسایی حملات، وصلههای اضطراری را برای نسخههای 7.4.5 و 7.4.6 منتشر کرد.
مهاجمان چگونه از آسیبپذیری FortiClient EMS سوءاستفاده میکنند؟
محققان شرکت امنیت سایبری آرکتیک ولف (Arctic Wolf) اعلام کردند مهاجمان حمله را با سوءاستفاده از APIهای Endpoint آغاز میکنند. این روش به آنها امکان میدهد بدون احراز هویت برخی عملیات مدیریتی را روی سرور EMS انجام دهند.
مهاجمان پس از دسترسی اولیه، تنظیمات EMS و سیاستهای VPN را تغییر میدهند. این تغییرات اجرای اسکریپتهای مخرب را ممکن میکند و زمینه را برای نصب بدافزار فراهم میسازد.
هنگامی که نقاط پایانی از طریق تونل IPsec به فایروال FortiGate متصل میشوند، پروسه معتبر fortitray.exe اسکریپتهای مخرب را از طریق Command Prompt اجرا میکند.
این اسکریپتها یک Payload مبتنی بر PowerShell رمزگذاریشده با Base64 را اجرا میکنند. Payload مذکور بدافزاری را دریافت و اجرا میکند که خود را بهعنوان یک وصله رسمی فورتینت معرفی میکند. سپس بدافزار اطلاعات جمعآوریشده را از طریق HTTP به یک سرور تحت کنترل مهاجمان ارسال میکند.
به گفته محققان آرکتیک ولف، مهاجمان بهجای استفاده از فایلهای آلوده متداول، بدافزار را به شکل یک بهروزرسانی معتبر فورتینت نمایش دادند. آنها همچنین از قابلیتهای مدیریتی موجود در FortiClient برای اجرای کد مخرب استفاده کردند.
بدافزار EKZ چه اطلاعاتی را سرقت میکند؟
بررسیها نشان میدهد EKZ عملکردی مشابه سایر بدافزارهای سرقت اطلاعات دارد. این بدافزار مرورگرهای مبتنی بر Chromium و Firefox را هدف قرار میدهد.
EKZ قادر است اطلاعات زیر را استخراج کند:
-
نامهای کاربری و رمزهای عبور ذخیرهشده
-
اطلاعات کارتهای بانکی
-
آدرسها و شماره تلفنهای ذخیرهشده
-
کوکیهای مرورگر
این بدافزار دادههای سرقتشده را در فایلهای متنی ذخیره میکند و برخی مکانیزمهای محافظت از گذرواژهها را دور میزند.
سرقت کوکیهای مرورگر یکی از خطرناکترین قابلیتهای EKZ محسوب میشود. مهاجمان با استفاده از این دادهها میتوانند به حسابهای کاربری دسترسی پیدا کنند. در برخی موارد، این روش حتی امکان دور زدن احراز هویت چندمرحلهای را نیز فراهم میکند.
نشانههای بهرهبرداری از آسیبپذیری FortiClient EMS
محققان آرکتیک ولف از مدیران امنیتی خواستهاند لاگهای EMS را با دقت بررسی کنند. یکی از مهمترین نشانههای تلاش برای سوءاستفاده از آسیبپذیری FortiClient EMS مشاهده پیام زیر در لاگها است:
Certificate not found in request header.
در آزمایشهای انجامشده، چند ثانیه پس از ثبت این پیام، رویداد دیگری نیز مشاهده شد که به بهروزرسانی موفق یک گواهی دیجیتال اشاره میکرد.
کارشناسان همچنین موارد زیر را بهعنوان نشانههای هشداردهنده معرفی کردهاند:
-
ناهنجاری در فرآیندهای احراز هویت مبتنی بر گواهی
-
تغییرات غیرمنتظره در تنظیمات Remote Access Profile
-
ایجاد حسابهای مدیریتی جدید
-
ورود از آدرسهای IP ناشناس، سرورهای VPS یا شبکه Tor
-
تغییرات غیرعادی در تنظیمات EMS و VPN
توصیههای امنیتی برای سازمانها
توصیه میشود سازمانها آخرین وصلههای امنیتی FortiClient EMS را نصب کنند. همچنین بر پایش مداوم لاگها، بررسی تغییرات پیکربندی و نظارت بر فعالیت حسابهای مدیریتی تأکید میشود.
شناسایی سریع نشانههای نفوذ و واکنش بهموقع میتواند از سرقت اطلاعات حساس و گسترش آلودگی در شبکه جلوگیری کند.