سوءاستفاده مهاجمان از آسیب‌پذیری FortiClient EMS برای توزیع بدافزار

مهاجمان سایبری از آسیب‌پذیری FortiClient EMS با شناسه CVE-2026-35616 برای توزیع یک بدافزار سرقت اطلاعات به نام EKZ سوءاستفاده می‌کنند. بررسی‌های جدید نشان می‌دهد مهاجمان این بدافزار را در قالب یک به‌روزرسانی جعلی Fortinet منتشر کرده‌اند و از پروسه‌های معتبر VPN برای اجرای آن روی سیستم‌های قربانی بهره می‌برند.

جزئیات آسیب‌پذیری FortiClient EMS

آسیب‌پذیری FortiClient EMS ناشی از ضعف در کنترل دسترسی است. این نقص به مهاجمان اجازه می‌دهد بدون احراز هویت، کد یا دستورات دلخواه خود را از راه دور اجرا کنند. مهاجمان برای انجام این حملات از درخواست‌های دستکاری‌شده استفاده می‌کنند.

شرکت فورتی‌نت (Fortinet) در اوایل آوریل 2026 تأیید کرد که مهاجمان سایبری از این نقص امنیتی به‌صورت فعال سوءاستفاده می‌کنند. این شرکت پس از شناسایی حملات، وصله‌های اضطراری را برای نسخه‌های 7.4.5 و 7.4.6 منتشر کرد.

مهاجمان چگونه از آسیب‌پذیری FortiClient EMS سوءاستفاده می‌کنند؟

محققان شرکت امنیت سایبری آرکتیک ولف (Arctic Wolf) اعلام کردند مهاجمان حمله را با سوءاستفاده از APIهای Endpoint آغاز می‌کنند. این روش به آن‌ها امکان می‌دهد بدون احراز هویت برخی عملیات مدیریتی را روی سرور EMS انجام دهند.

مهاجمان پس از دسترسی اولیه، تنظیمات EMS و سیاست‌های VPN را تغییر می‌دهند. این تغییرات اجرای اسکریپت‌های مخرب را ممکن می‌کند و زمینه را برای نصب بدافزار فراهم می‌سازد.

هنگامی که نقاط پایانی از طریق تونل IPsec به فایروال FortiGate متصل می‌شوند، پروسه معتبر fortitray.exe اسکریپت‌های مخرب را از طریق Command Prompt اجرا می‌کند.

این اسکریپت‌ها یک Payload مبتنی بر PowerShell رمزگذاری‌شده با Base64 را اجرا می‌کنند. Payload مذکور بدافزاری را دریافت و اجرا می‌کند که خود را به‌عنوان یک وصله رسمی فورتی‌نت معرفی می‌کند. سپس بدافزار اطلاعات جمع‌آوری‌شده را از طریق HTTP به یک سرور تحت کنترل مهاجمان ارسال می‌کند.

به گفته محققان آرکتیک ولف، مهاجمان به‌جای استفاده از فایل‌های آلوده متداول، بدافزار را به شکل یک به‌روزرسانی معتبر فورتی‌نت نمایش دادند. آن‌ها همچنین از قابلیت‌های مدیریتی موجود در FortiClient برای اجرای کد مخرب استفاده کردند.

بدافزار EKZ چه اطلاعاتی را سرقت می‌کند؟

بررسی‌ها نشان می‌دهد EKZ عملکردی مشابه سایر بدافزارهای سرقت اطلاعات دارد. این بدافزار مرورگرهای مبتنی بر Chromium و Firefox را هدف قرار می‌دهد.

EKZ قادر است اطلاعات زیر را استخراج کند:

  • نام‌های کاربری و رمزهای عبور ذخیره‌شده

  • اطلاعات کارت‌های بانکی

  • آدرس‌ها و شماره تلفن‌های ذخیره‌شده

  • کوکی‌های مرورگر

این بدافزار داده‌های سرقت‌شده را در فایل‌های متنی ذخیره می‌کند و برخی مکانیزم‌های محافظت از گذرواژه‌ها را دور می‌زند.

سرقت کوکی‌های مرورگر یکی از خطرناک‌ترین قابلیت‌های EKZ محسوب می‌شود. مهاجمان با استفاده از این داده‌ها می‌توانند به حساب‌های کاربری دسترسی پیدا کنند. در برخی موارد، این روش حتی امکان دور زدن احراز هویت چندمرحله‌ای را نیز فراهم می‌کند.

نشانه‌های بهره‌برداری از آسیب‌پذیری FortiClient EMS

محققان آرکتیک ولف از مدیران امنیتی خواسته‌اند لاگ‌های EMS را با دقت بررسی کنند. یکی از مهم‌ترین نشانه‌های تلاش برای سوءاستفاده از آسیب‌پذیری FortiClient EMS مشاهده پیام زیر در لاگ‌ها است:

Certificate not found in request header.

در آزمایش‌های انجام‌شده، چند ثانیه پس از ثبت این پیام، رویداد دیگری نیز مشاهده شد که به به‌روزرسانی موفق یک گواهی دیجیتال اشاره می‌کرد.

کارشناسان همچنین موارد زیر را به‌عنوان نشانه‌های هشداردهنده معرفی کرده‌اند:

  • ناهنجاری در فرآیندهای احراز هویت مبتنی بر گواهی

  • تغییرات غیرمنتظره در تنظیمات Remote Access Profile

  • ایجاد حساب‌های مدیریتی جدید

  • ورود از آدرس‌های IP ناشناس، سرورهای VPS یا شبکه Tor

  • تغییرات غیرعادی در تنظیمات EMS و VPN

توصیه‌های امنیتی برای سازمان‌ها

 توصیه می‌شود سازمان‌ها آخرین وصله‌های امنیتی FortiClient EMS را نصب کنند. همچنین بر پایش مداوم لاگ‌ها، بررسی تغییرات پیکربندی و نظارت بر فعالیت حساب‌های مدیریتی تأکید می‌شود.

شناسایی سریع نشانه‌های نفوذ و واکنش به‌موقع می‌تواند از سرقت اطلاعات حساس و گسترش آلودگی در شبکه جلوگیری کند.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

5 × 4 =