Threat Actors Exploit Critical FortiClient EMS Flaw to Deploy Credential Stealer
Mis à jour :
Exploitation de FortiClient EMS pour le déploiement de logiciels malveillants
Des acteurs malveillants exploitent une vulnérabilité critique dans FortiClient Endpoint Management Server (EMS) pour compromettre les terminaux gérés. En détournant les mécanismes de mise à jour légitimes de l’infrastructure, les attaquants déploient des scripts PowerShell malveillants dissimulés en fausses mises à jour (« FortiEndpoint_Patch.exe ») afin d’exfiltrer des données sensibles.
Points clés :
- Mode opératoire : Les attaquants contournent l’authentification API pour modifier les configurations EMS et pousser des commandes PowerShell vers tous les terminaux gérés, simulant des opérations de maintenance légitimes.
- Impact : Utilisation d’un logiciel de vol d’informations (stealer) capable de collecter des mots de passe, des cookies et des données bancaires depuis les navigateurs (Chromium/Gecko).
- Exfiltration : Les données collectées sont transmises vers une infrastructure distante (IP : 83.138.53.110) via des requêtes HTTP POST.
- Risque secondaire : Le vol de jetons de session peut permettre de contourner l’authentification multifacteur (MFA) pour accéder à des applications internes ou cloud.
Vulnérabilité identifiée :
- CVE-2026-35616 (CVSS 9.1) : Contournement de l’authentification API pré-authentification permettant une élévation de privilèges.
Recommandations :
- Mise à jour immédiate : Appliquer les correctifs de sécurité fournis par Fortinet (disponibles à partir de la version FortiClient EMS 7.4.7).
- Surveillance : Auditer les logs de configuration des profils d’accès à distance et des politiques de terminaux pour détecter des modifications suspectes ou des exécutions non autorisées de scripts via
fortitray.exe. - Réponse : En cas de compromission, considérer les identifiants de session et les mots de passe stockés sur les navigateurs des terminaux infectés comme compromis et procéder à une réinitialisation générale.