Como o ataque funciona
Uma campanha de ataque identificada em maio de 2026 explora a vulnerabilidade crítica CVE-2026-35616 (CVSS 9.1) no FortiClient Enterprise Management Server (EMS) para distribuir o EKZ Infostealer, um malware de roubo de credenciais disfarçado de atualização legítima da Fortinet. A falha permite que invasores não autenticados executem código arbitrário e comprometam endpoints gerenciados pela plataforma corporativa.
Segundo pesquisa da Arctic Wolf, os invasores abusam de APIs do endpoint para executar ações administrativas sem autenticação. O atacante modifica a configuração do EMS e as políticas de VPN para introduzir a execução de scripts maliciosos. A Fortinet confirmou a exploração ativa no início de abril e lançou hotfixes de emergência para as versões 7.4.5 e 7.4.6 do produto. A CISA determinou que agências federais apliquem as correções.
| Detalhe | Informação |
|---|---|
| CVE | CVE-2026-35616 |
| CVSS | 9.1 (Crítico) |
| Tipo | Bypass de autenticação em API |
| Versões afetadas | FortiClient EMS 7.4.5 e 7.4.6 |
| Instâncias expostas | ~2.000 detectadas na internet |
| Malware entregue | EKZ Infostealer |
A intrusão começa com a exploração da API de gerenciamento do EMS. O atacante envia requisições especialmente elaboradas que permitem acessar funções administrativas sem credenciais válidas. Com esse acesso, o invasor altera políticas de VPN e configurações de endpoint para injetar comandos maliciosos.
Segundos após os endpoints estabelecerem um túnel IPsec com um firewall FortiGate, o processo legítimo fortitray.exe executa scripts batch maliciosos por meio do Prompt de Comando. Esses scripts invocam um payload PowerShell codificado em base64 que baixa e executa o malware disfarçado como um patch da Fortinet, exfiltrando dados para um VPS controlado pelo atacante via HTTP.
EKZ Infostealer rouba dados
O malware, batizado EKZ Infostealer com base em símbolos internos extraídos do código decriptado, tem funcionalidade focada em roubo de credenciais de navegadores. Ele atinge sistemas baseados em Chromium (Chrome, Edge, Brave) e Firefox, extraindo credenciais armazenadas, detalhes de cartões de crédito, endereços, números de telefone e cookies de sessão.
A capacidade de contornar mecanismos de criptografia de senhas do Chrome torna o EKZ particularmente perigoso. Os cookies roubados concedem acesso a contas protegidas por autenticação multifator sem necessidade de login adicional, ampliando o alcance do ataque para e-mail, armazenamento em nuvem e sistemas corporativos inteiros.
Sinais de comprometimento
A Arctic Wolf identificou indicadores específicos de exploração. Nos logs do FortiClient EMS, a entrada “Certificate not found in request header” seguida em segundos por “Certificate user: fortinet-ca2 successfully updated” é um forte indicador de ataque em andamento.
Profissionais de segurança devem monitorar anomalias na autenticação de certificados, alterações não autorizadas nas configurações de Remote Access Profile, novas contas administrativas sem justificativa e logins originados de IPs de Tor ou provedores VPS. Qualquer modificação suspeita em políticas de VPN merece investigação imediata.
Medidas de proteção imediatas
- Aplique os hotfixes lançados pela Fortinet para as versões 7.4.5 e 7.4.6 do FortiClient EMS imediatamente
- Restrinja o acesso ao painel administrativo do EMS apenas a redes internas confiáveis, removendo exposição pública
- Monitore logs do EMS buscando a mensagem “Certificate not found in request header” seguida de atualizações de certificado
- Revise todas as contas administrativas e perfis de Remote Access criados ou modificados recentemente
- Analise endpoints gerenciados em busca de processos PowerShell suspeitos iniciados pelo
fortitray.exe - Invalide cookies de sessão de usuários com acesso ao EMS como medida preventiva