Hackers exploit FortiClient EMS flaw to push infostealer malware

Exploitation critique de FortiClient EMS pour la distribution du malware EKZ

Des attaquants exploitent actuellement une vulnérabilité critique dans FortiClient Enterprise Management Server (EMS) afin de déployer le voleur d’informations (infostealer) nommé EKZ. En compromettant les serveurs, les pirates manipulent les politiques VPN pour exécuter des scripts malveillants dissimulés sous l’apparence de mises à jour légitimes de Fortinet.

Points clés :

• Vecteur d’attaque : Les attaquants contournent l’authentification pour modifier la configuration EMS et les profils d’accès à distance.
• Méthodologie : Le processus utilise fortitray.exe pour lancer des scripts batch, lesquels exécutent une charge utile PowerShell encodée en base64.
• Impact : Le malware EKZ exfiltre des données sensibles des navigateurs (identifiants, cartes bancaires, cookies), permettant de contourner l’authentification multifacteur (MFA).
• Menace étendue : La vulnérabilité est largement ciblée, avec environ 2 000 instances exposées identifiées par The Shadowserver Foundation.

Vulnérabilité :

• CVE-2026-35616 : Faille de contrôle d’accès non autorisé permettant l’exécution de code ou de commandes à distance (RCE).

Recommandations :

• Application des correctifs : Mettre immédiatement à jour les instances FortiClient EMS vers les versions corrigées (7.4.5, 7.4.6 ou ultérieures).
• Surveillance des logs : Rechercher les anomalies liées à l’authentification par certificat, notamment la présence du message “Certificate not found in request header”.
• Audit de configuration : Surveiller toute modification inattendue des profils d’accès distant et des politiques VPN.
• Analyse comportementale : Traquer les activités administratives suspectes, les connexions provenant d’adresses IP inhabituelles (VPS, Tor) et le lancement inopiné de scripts via PowerShell sur les points de terminaison.

Source