Hackers are exploiting an authentication bypass vulnerability in FortiClient EMS to deliver an infostealer called EKZ. Для компаний это не просто еще одна критическая дыра в корпоративном ПО — атакующие уже используют ее, чтобы запускать вредоносные скрипты на рабочих станциях и выносить сохраненные данные из браузеров.
Что это за уязвимость
Речь идет о сбое проверки доступа в FortiClient Enterprise Management Server — сервере, который управляет корпоративными агентскими компонентами и политиками безопасности. Ошибка позволяет удаленному атакующему отправить специально подготовленный запрос и получить права на действия, на которые у него быть не должно.
Фактически это открывает путь к удаленному запуску команд и изменению настроек. Fortinet подтвердила эксплуатацию и выпустила экстренные исправления для версий 7.4.5 и 7.4.6.
Как работает атака
По данным Arctic Wolf, цепочка начинается с обращения к endpoint API без аутентификации. Затем атакующий меняет конфигурацию EMS и политики, связанные с удаленным доступом, чтобы подложить запуск вредоносных скриптов.
Дальше сценарий развивается быстро: после установки IPsec-туннеля на конечной машине запускается легитимный компонент FortiClient, а затем — batch-скрипты и PowerShell-полезная нагрузка. Она скачивает вредоносный файл, замаскированный под патч Fortinet, и запускает его скрытно.
Почему это опасно
EKZ — это инфостилер, то есть программа для кражи данных. Она охотится за логинами, куками, адресами, телефонами, платежными данными и сохраненными паролями в браузерах на Chromium и Firefox.
Особая проблема в том, что кук и другие сессионные данные помогают атакующему входить в аккаунты даже там, где включена двухфакторная защита. Именно поэтому подобные кампании опасны не только для ИТ-отдела, но и для обычных сотрудников, которые пользуются рабочим ноутбуком для личной переписки и интернет-банка.
Похожий сценарий мы уже разбирали в материале о том, как Microsoft закрыла опасную RCE-дыру в SharePoint Server: как только злоумышленник получает возможность запускать код на сервере, дальше все решают скорость реакции и качество мониторинга.
Как понять, что риск касается вас
В первую очередь — если в компании стоит FortiClient EMS, особенно не самой свежей версии. Если сервер доступен из интернета, риск выше: именно такие экземпляры чаще попадают в зону прицела.
Есть и косвенные признаки. Arctic Wolf советует смотреть на строки в журналах вроде «Certificate not found in request header», а затем — на неожиданное обновление сертификата и изменения в Remote Access Profile. Еще один тревожный сигнал — внезапные административные действия, новые учетные записи, входы с Tor или VPS-IP и правки политик без понятной причины.
Как защититься
Обновления здесь — не формальность, а первая линия обороны. Если у вас используются затронутые версии, ставьте экстренные исправления и проверяйте, не торчит ли сервер наружу без необходимости.
Дальше — ревизия журналов и конфигураций. Ищите несогласованные изменения, отключайте ненужные административные интерфейсы, ограничивайте доступ по IP и следите за тем, чтобы endpoints не получали команды, которых никто не отправлял.
Для сотрудников и администраторов полезно держать под рукой разбор того, что может видеть провайдер по DNS и где проходит граница: он помогает трезво оценить, какие следы оставляет соединение и где начинаются риски утечки метаданных.
Если нужна защита рабочих сессий в чужой или открытой сети, пригодится [слой дополнительной приватности для трафика]https://freedome.space. Это не лечит уязвимость в корпоративном сервере, но помогает уменьшить видимость переписки и сетевых метаданных там, где вы не контролируете инфраструктуру.
Чек-лист для ИТ-отдела
- Проверить версию FortiClient EMS и поставить экстренные обновления, если это еще не сделано.
- Ограничить внешний доступ к EMS и закрыть лишние административные интерфейсы.
- Просмотреть журналы на строку «Certificate not found in request header» и последующие необычные изменения.
- Сверить настройки Remote Access Profile и политики, связанные с удаленным доступом.
- Проверить новые учетные записи, входы с необычных IP и любые правки конфигурации без заявки.
- Понять, какие машины могли загрузить подозрительные скрипты или файлы под видом обновления.
- Обновить правила мониторинга, чтобы ловить запуск PowerShell, batch-скриптов и нетипичный исходящий трафик.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.