重大なFortiClient EMSの脆弱性が新たな攻撃で悪用される

4月にパッチが適用されたFortiClient Endpoint Management Server（EMS）の重大な脆弱性が、情報窃取マルウェアを展開する新たな攻撃で悪用されていると、Arctic Wolfが報告しています。

この欠陥はCVE-2026-35616（CVSSスコア9.1）として追跡されており、細工されたリクエストを介してリモートコード実行（RCE）のために遠隔から悪用可能で、認証を必要としません。

Fortinetは4月初旬にこのセキュリティ上の欠陥に対するホットフィックスを公開し、ゼロデイとして野外で悪用されていたことを警告し、即時パッチ適用を強く求めました。

パッチ未適用のFortiClient EMSの展開環境が現在、偽のFortinetエンドポイントパッチに偽装したEKZ Infostealerを展開するキャンペーンの標的にされています。

ペイロードはFortiClientが管理するVPNスクリプトワークフローを介して実行され、PowerShellを呼び出すコマンドスクリプトが使用されており、対象環境への知識があることが示唆されます。

「観察された実行パターンから、脅威アクターがFortiClient自身の管理経路を利用して、正規の管理操作に見せかけた方法で管理対象エンドポイントに悪意のあるPowerShellコマンドをプッシュしたことが示唆される」とArctic Wolfは述べています。

FortiClient EMSはFortiClientデバイス、ポリシー、および設定の集中管理プラットフォームとして機能するため、アプライアンスへのアクセスにより攻撃者はすべての管理対象エンドポイントでコードを実行できたと、このサイバーセキュリティ企業は指摘しています。

これらの攻撃で展開された情報窃取マルウェアは、Chrome、Microsoft Edge、Firefox、その他のChromiumおよびGeckoベースのブラウザを標的に、認証情報、Cookie、およびオートフィルデータを窃取します。収集されたデータはHTTP経由で外部に送信されます。

「このアプリケーションはネットワークベースの認証情報漏洩機能を持たず、代わりにサポートされているブラウザから認証情報を出力ログファイルにエクスポートします。引数なしで実行すると、コマンドラインの使用方法の詳細が表示されます」とArctic Wolfは述べています。

組織はできる限り早くCVE-2026-35616に対するFortinetのパッチを適用することが推奨されます。このセキュリティ上の欠陥は4月6日にCISAの既知の悪用された脆弱性（KEV）リストに追加されました。