北京
Arctic Wolf的安全團隊發現,攻擊者正在利用FortiClient企業管理服務器(EMS)中的一個認證繞過漏洞,針對受管終端分發一款此前未被記錄的竊密軟件EKZ。惡意載荷被巧妙地包裝成Fortinet官方的端點更新,并通過FortiClient負責管理的VPN腳本工作流執行,全程借用合法的客戶端組件掩護其行為。
此次被利用的漏洞編號為CVE-2026-35616,屬于嚴重級別的訪問控制不當缺陷。未經身份認證的遠程攻擊者可通過特制請求,在未授權的情況下執行任意代碼或命令。Fortinet在四月初確認該漏洞已遭到在野利用,隨即針對7.4.5與7.4.6版本發布了緊急修復程序。同周,美國網絡安全與基礎設施安全局(CISA)迅速將這一威脅納入已知被利用漏洞目錄,要求聯邦機構在當周結束前完成防護加固。互聯網安全監控組織Shadowserver基金會當時表示,它們探測到全球約有2000個直接暴露在互聯網上的EMS實例。
Arctic Wolf的研究人員還原了入侵全程:攻擊者首先濫用端點API,在沒有認證的條件下執行管理操作,隨后修改EMS配置與VPN策略,以植入惡意腳本的執行邏輯。當端點與FortiGate防火墻建立IPsec隧道后數秒,合法的fortitray.exe進程便通過命令提示符啟動惡意批處理腳本。這些腳本進一步觸發一段Base64編碼的PowerShell載荷,下載并運行了偽裝成Fortinet補丁的惡意程序,最終將竊取的數據經由HTTP傳至攻擊者控制的虛擬專用服務器。
報告指出,攻擊者并未使用常見的惡意文件誘餌,而是將載荷偽裝成Fortinet端點更新,利用FortiClient原生的VPN腳本管理機制觸發。受影響的終端上,FortiClient組件啟動命令腳本調用PowerShell,靜默下載并執行竊密程序,在清理本地痕跡前將瀏覽器中收集的數據外泄。這款被跟蹤為EKZ的竊密軟件功能相對標準,主要針對基于Chromium和Firefox的瀏覽器,將存儲的憑據、信用卡信息、地址、電話號碼及Cookies提取至文本文件,并能繞過加密密碼保護。其中,Cookies的竊取格外危險,它可使攻擊者在無需知道密碼的情況下,直接接管受多因素認證保護的賬戶。
研究人員還公布了可供防御者參考的入侵指示特征:在一次針對EKZ攻擊的實驗室測試中,日志中出現了“Certificate not found in request header.”這條記錄,并在幾秒后緊跟另一則條目——“Certificate user: fortinet-ca2 … successfully updated”。基于此,安全人員建議重點排查證書認證異常以及遠程訪問配置文件中的非預期變更,以便在入侵初期阻斷攻擊鏈。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
