北京
安全研究人員發現一起針對FortiClient端點管理服務器(EMS)的大規模攻擊活動,攻擊者利用了編號為CVE-2026-35616的未授權訪問漏洞,完全繞過API身份驗證,獲得了對EMS的管理控制權。更值得警惕的是,攻擊者并未直接投放惡意軟件,而是篡改了FortiClient自身的合法遠程訪問配置,借助VPN隧道建立時自動執行腳本的機制,將企業管理平臺直接變成惡意軟件分發渠道。
據Arctic Wolf在2026年5月披露,該漏洞存在于FortiClient EMS的訪問控制模塊中,未經認證的攻擊者可以向受影響實例發送特權請求,進而修改端點策略和遠程訪問配置文件。攻擊者將惡意腳本注入到FortiClient VPN的on_connect指令中。當終端通過IPsec隧道連接時,fortitray.exe進程會執行位于C:\Program Files\Fortinet\FortiClient\logs\Trace\scripts\目錄下的隨機GUID命名.cmd腳本,這些腳本會解碼并運行一段Base64編碼的PowerShell載荷,靜默下載名為FortiEndpoint_Patch.exe的惡意程序,并在90秒后將竊取的數據通過HTTP POST回傳到攻擊者控制的服務器83[.]138.53[.]110。
整個過程完全依賴FortiClient自身受信任的二進制和預設路徑,傳統端點防護很難察覺異常。攻擊初始階段還與多個Tor出口節點IP的活動高度關聯,包括185[.]220.101.15和192[.]42.116.14,表明攻擊者在繞過API認證后數小時內即完成了橫向滲透和腳本部署。
該下載執行的載荷被Arctic Wolf命名為EKZ Infostealer,是一套由MinGW編譯的Windows憑據竊密工具,其內部符號顯示出明顯的定制化痕跡。目前尚未清晰的受波及端點規模,但考慮到FortiClient EMS在企業和政府機構中的廣泛應用,安全專家警告,任何未及時修補的實例都可能淪為攻擊者靜默收割憑據的跳板,建議管理員立即排查EMS版本,阻斷相關入侵指標,并重新審視VPN腳本執行的策略配置。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
