ハッカーがFortiClient Enterprise Management Server(EMS)の認証バイパス脆弱性(CVE-2026-35616)を悪用し、EKZと呼ばれる未文書化の認証情報窃取ツールを配布していることが明らかになった。
攻撃者はマルウェアをFortinetエンドポイント向けのアップデートに偽装し、FortiClientが管理するVPNスクリプトワークフローを通じて実行させた。
悪用された重大な脆弱性は、不適切なアクセス制御の欠陥であり、未認証のリモート攻撃者が特別に細工したリクエストを通じて任意のコードやコマンドを実行できるものだ。
Fortinetは4月初旬、この脆弱性が悪用されていることを確認し、製品バージョン7.4.5および7.4.6に対して緊急ホットフィックスをリリースした。
CISAはこの悪意ある活動に素早く対応し、連邦機関に対してその週の末までに自機関のインスタンスを保護するよう命令した。一方、インターネットセキュリティ監視団体The Shadowserver Foundationは当時、インターネットに公開されたEMSインスタンスを2,000件確認していると報告していた。
今月初め、サイバーセキュリティ企業Arctic Wolfは、この脆弱性を利用してEKZ情報窃取ツールを配布する攻撃を観測した。研究者らによると、侵害はエンドポイントAPIを悪用して認証なしに管理操作を行うことから始まるという。
攻撃者はその後、EMS構成とVPNポリシーを改ざんし、悪意のあるスクリプトを実行させる。エンドポイントがFortiGateファイアウォールへのIPsecトンネルを確立してから数秒後、正規のfortitray.exeがコマンドプロンプトを通じて悪意のあるバッチスクリプトを起動した。
これらのスクリプトはBase64エンコードされたPowerShellペイロードを実行し、Fortinetのパッチに偽装したマルウェアをダウンロード・実行した後、HTTP経由で攻撃者が管理するVPSにデータを送信した。
「汎用的なマルウェアの囮に頼るのではなく、ペイロードはFortinetのエンドポイントアップデートとして提示され、FortiClientが管理するVPNスクリプトワークフローを通じて実行された」とArctic Wolfのレポートには記されている。
「感染したエンドポイントでは、FortiClientのコンポーネントがコマンドスクリプトを起動してPowerShellを呼び出し、認証情報窃取ツールをダウンロードしてサイレントに実行し、収集したブラウザデータをローカルの痕跡を消去する前に外部に送信した。」
EKZ Infostealerとして追跡されているダウンロードされたペイロードは、比較的標準的な情報窃取機能を持つ。ChromiumベースおよびFirefoxのWebブラウザを標的とし、暗号化されたパスワード保護を回避しながら、保存されたデータをテキストファイルに抽出する。
このマルウェアは認証情報、クレジットカード情報、住所、電話番号、およびCookieを標的とし、ログインすることなく多要素認証で保護されたアカウントへのアクセスを可能にする。
Arctic Wolfによると、EKZ情報窃取ツールを配布する攻撃における悪用の試みの兆候として、ログ内に「Certificate not found in request header」という行が存在することが挙げられる。ラボのテストでは、このエラーの数秒後に別のエントリが記録された:Certificate user: fortinet-ca2 … successfully updated
そのため、研究者らはディフェンダーに対し、証明書認証の異常およびリモートアクセスプロファイル設定への予期しない変更を監視するよう推奨している。
新規アカウントの作成、不審な送信元(Tor、VPS IPアドレス)からのログイン、設定変更につながる操作など、疑わしい管理者活動はすべて危険信号とみなすべきだ。
Arctic Wolfのレポートには、観測された攻撃を組織が防ぐために役立つ詳細な検出ガイダンスが記載されている。
検証のギャップ:自動ペネトレーションテストが答える問いは一つ。必要なのは六つだ。
自動ペネトレーションテストツールは真の価値を提供するが、それらは一つの問いに答えるために作られている:攻撃者はネットワーク内を移動できるか? それらは、コントロールが脅威をブロックするか、検出ルールが発動するか、クラウド設定が維持されるかをテストするために作られたわけではない。
本ガイドでは、実際に検証すべき6つの領域を解説する。
