攻撃者たちは、FortiClient Enterprise Management Server(EMS)の既知の脆弱性(CVE-2026-35616)を悪用し、広範囲に対応したインフォスティーラーを企業コンピューターに送り込んでいる。
「この[悪意ある]ペイロードはFortinetのエンドポイントアップデートとして提示され、FortiClientが管理するVPNスクリプティングワークフローを通じて実行された」と、Arctic Wolfの研究者たちは指摘している。
CVE-2026-35616について
CVE-2026-35616は、FortiClient EMSにおける不適切なアクセス制御の脆弱性である。FortiClient EMSとは、IT管理者が組織のネットワーク内のすべてのデバイスにFortiClientエンドポイントセキュリティソフトウェアを展開・設定・監視するための一元管理プラットフォームだ。
この脆弱性は、Defused Cyberがゼロデイとして悪用されていることを発見した後、Fortinetによって4月初旬に公開開示された。当時、攻撃の詳細については不明だった。
Arctic Wolfが観測した攻撃は2026年5月に発生している。
攻撃キャンペーン
CVE-2026-35616により、攻撃者はAPI認証および認可をバイパスすることができる。
「特定のFortiClient EMSエンドポイントに対して有効な認証情報なしで特別に細工されたHTTPリクエストを送信すると、そのリクエストが正当な管理操作であるかのように処理される。その時点から、脅威アクターは通常であれば管理者アクセスを必要とするEMS機能を操作できるようになる」と、Arctic Wolfの研究者たちは説明している。
「脅威アクターによって複数の後続アクションが実行された。具体的には、ファームウェアアップグレードのリマインダーを先送りするためのremind_upgrade_after設定の更新、およびエンドポイントデバイス上で悪意あるスクリプトを実行させるためのリモートアクセスプロファイル設定とエンドポイントポリシーの編集などが行われた。
標的エンドポイントに配信された悪意あるペイロード(FortiEndpoint_Patch.exe)は、MinGWでコンパイルされたWindowsのクレデンシャルスティーラーであり、研究者たちはEKZ Infostealerと名付けた。
このマルウェアは、ChromiumおよびGeckoエンジンを使用するブラウザやソフトウェア——Google Chrome、Microsoft Edge、Opera、Brave、Vivaldi、MozillaのFirefox(およびそのメールクライアントであるThunderbird)、Torブラウザ、LibreWolf、Pale Moonなど——が保存したセッションクッキー、クレデンシャル、オートフィルデータを収集する能力を持つ。なお、Geckoエンジンを使用するものも対象となる。
「この感染チェーンでは直接観測されなかったが、脅威アクターが管理するHTTPサーバから他の悪意あるサンプルが複数回収された」と研究者たちは指摘している。それらのサンプルにはFortiEndpoint_Patch.2.4.9.zip、Microsoftr Windowsr Operating System-Installer.exe、fil_api_ms_win_crt_apibase_l1_1_0.dllといったファイル名が付けられていた。
調査および対応
Arctic Wolfはこの攻撃キャンペーンに関連する既知の侵害指標を共有し、FortiClient EMSを使用している組織に対して、証明書エラーを示す特定のヘッダー、新規アカウント、不審または見覚えのないログイン、および実行を可能にする設定変更がないかログを確認するよう求めた。
また研究者たちは、窃取されたクッキーやクレデンシャルが攻撃者によって「クラウドサービス、内部アプリケーション、その他の認証済みリソースへの後続アクセス」に利用される可能性があると警告している。
侵害の証拠が発見された場合、徹底的な対応プロセスとして、影響を受けたパスワードの変更と、潜在的に影響を受けたすべてのサービスにわたるアクティブセッションの無効化が必要となる。ブラウザに保存されたオートフィルデータの内容によっては、さらなる対応が必要になる場合もある(例えば、保存されていた支払いカード情報のキャンセルと再発行など)。
翻訳元: https://www.helpnetsecurity.com/2026/05/29/forticlient-ems-vulnerability-infostealer/
