黑客利用 FortiClient EMS 漏洞推送信息窃取恶意软件
- 浏览次数 64
- 喜欢 0
黑客正在利用 FortiClient 企业管理服务器(EMS)中的一个身份验证绕过漏洞(CVE - 2026 - 35616),来传播一款未公开的名为 EKZ 的凭证窃取程序。
攻击者将该恶意软件伪装成 Fortinet 终端的更新程序,并通过由 FortiClient 管理的 VPN 脚本工作流程来执行它。
被利用的这个严重漏洞属于访问控制不当问题,使得未经身份验证的远程攻击者能够通过特制请求执行任意代码或命令。
飞塔公司(Fortinet)在 4 月初确认该漏洞已被利用,并针对产品的 7.4.5 和 7.4.6 版本发布了紧急热修复程序。
美国网络安全与基础设施安全局(CISA)对这一恶意活动反应迅速,责令联邦机构在当周周末前保护好各自的系统实例。与此同时,互联网安全监督组织 Shadowserver 基金会当时报告称,发现有 2000 个暴露在互联网上的 EMS 实例。
本月早些时候,网络安全公司北极狼(Arctic Wolf)观察到利用该漏洞传播 EKZ 信息窃取程序的攻击活动。研究人员指出,入侵始于滥用终端应用程序编程接口(API),在无需身份验证的情况下执行管理操作。
随后,攻击者修改 EMS 配置和 VPN 策略,以引入恶意脚本的执行。在终端与 FortiGate 防火墙建立 IPsec 隧道几秒钟后,合法的 fortitray.exe 程序通过命令提示符启动恶意批处理脚本。
这些脚本执行经过 Base64 编码的 PowerShell 有效载荷,该有效载荷会下载并运行伪装成 Fortinet 补丁的恶意软件,然后通过 HTTP 将数据渗出到攻击者控制的虚拟专用服务器(VPS)。
北极狼的报告中写道:“该有效载荷并非依赖于常见的恶意软件诱饵,而是伪装成 Fortinet 终端更新程序,并通过 FortiClient 管理的 VPN 脚本工作流程来执行。”
“在受影响的终端上,FortiClient 组件启动命令脚本,调用 PowerShell,下载一个凭证窃取程序,静默执行该程序,并在清除本地痕迹之前,渗出获取到的浏览器数据。”
被下载的有效载荷即 EKZ 信息窃取程序,具备相当标准的信息窃取功能。它同时针对基于 Chromium 内核的浏览器和 Firefox 浏览器,在绕过加密密码保护的情况下,将存储的数据提取到文本文件中。
该恶意软件的目标包括凭证、信用卡详细信息、地址、电话号码和 cookie,利用这些信息,攻击者无需登录,就能访问受多因素身份验证保护的账户。
北极狼表示,在传播 EKZ 信息窃取程序的攻击中,一个试图利用该漏洞的迹象是日志中出现 “请求头中未找到证书” 这一行内容。在实验室测试中,几秒后会紧接着出现另一条记录:证书用户:fortinet - ca2…… 已成功更新。
因此,研究人员建议安全防护人员留意证书认证异常情况,以及远程访问配置文件设置的意外更改。
任何可疑的管理活动,如新账户的创建、来自不熟悉来源(如 Tor、VPS IP 地址)的登录,或导致配置更改的操作,都应被视为危险信号。
消息来源:bleepingcomputer.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文