Des pirates exploitent une faille de contournement de l’authentification, référencée CVE-2026-35616, dans le serveur de gestion d’entreprise FortiClient EMS. Ils l’utilisent pour diffuser un logiciel malveillant jusqu’alors non documenté, baptisé EKZ, qui vole les identifiants.
Les attaquants ont déguisé ce logiciel malveillant en mise à jour pour les terminaux Fortinet. Ils l’ont ensuite exécuté via les workflows de scripts VPN qui sont gérés par l’application FortiClient.
La vulnérabilité critique exploitée est une faiblesse dans le contrôle d’accès. Elle permet à des attaquants distants non authentifiés d’exécuter du code ou des commandes arbitraires en envoyant des requêtes spécialement conçues.
Fortinet a confirmé début avril que cette faille faisait l’objet d’exploits actifs. L’entreprise a publié des correctifs d’urgence pour les versions 7.4.5 et 7.4.6 de son produit.
L’agence américaine de cybersécurité CISA a réagi rapidement à cette activité malveillante. Elle a ordonné aux agences fédérales de sécuriser leurs instances avant la fin de la semaine. Parallèlement, le groupe de surveillance The Shadowserver Foundation signalait à l’époque qu’il détectait environ 2000 instances EMS exposées sur internet.
Début mai, la société de cybersécurité Arctic Wolf a observé des attaques qui exploitaient cette faille pour diffuser le voleur d’identifiants EKZ. Les chercheurs indiquent que l’intrusion commence par l’abus des API de point de terminaison. Cela permet d’effectuer des actions administratives sans aucune authentification.
L’attaquant modifie ensuite la configuration du FortiClient EMS et les politiques VPN pour y introduire l’exécution de scripts malveillants. Quelques secondes après que les terminaux ont établi un tunnel IPsec vers un pare-feu FortiGate, le processus légitime fortitray.exe a lancé des scripts batch malveillants via l’invite de commande.
Ces scripts ont exécuté une charge utile PowerShell encodée en base64. Cette charge a téléchargé et exécuté un logiciel malveillant déguisé en correctif Fortinet, puis a exfiltré des données vers un serveur privé virtuel contrôlé par l’attaquant via le protocole HTTP.
Source : Arctic Wolf
Le rapport d’Arctic Wolf précise que la charge utile se présentait comme une mise à jour pour les terminaux Fortinet et qu’elle a été exécutée via les workflows de scripts VPN gérés par FortiClient, et non via un leurre générique.
Sur les terminaux affectés, des composants de FortiClient ont lancé des scripts de commande. Ces scripts ont invoqué PowerShell, téléchargé un voleur d’identifiants, l’ont exécuté silencieusement, et ont exfiltré les données collectées depuis les navigateurs avant de supprimer les artefacts locaux.
La charge utile téléchargée, identifiée sous le nom d’EKZ Infostealer, possède des fonctionnalités de vol d’informations assez classiques. Elle cible à la fois les navigateurs web basés sur Chromium et Firefox. Elle extrait les données stockées dans des fichiers texte tout en contournant les protections des mots de passe chiffrés.
Source : Arctic Wolf
Le logiciel malveillant recherche les identifiants, les détails des cartes de crédit, les adresses, les numéros de téléphone et les cookies. Ces cookies peuvent donner accès à des comptes protégés par une authentification multifacteur sans nécessiter une nouvelle connexion.
Selon Arctic Wolf, un indicateur d’une tentative d’exploitation dans les attaques diffusant EKZ est la présence dans les journaux de la ligne « Certificate not found in request header ». Lors de tests en laboratoire, cette erreur était suivie quelques secondes plus tard par une autre entrée indiquant qu’un certificat utilisateur avait été mis à jour avec succès.
Par conséquent, les chercheurs recommandent aux défenseurs de rechercher des anomalies dans l’authentification par certificat et des modifications inattendues dans les configurations des profils d’accès à distance.
Toute activité administrative suspecte, comme la création de nouveaux comptes, des connexions depuis une origine inhabituelle, ou des actions qui entraînent des changements de configuration, doit être considérée comme un signal d’alerte.
Le rapport d’Arctic Wolf fournit des conseils de détection approfondis qui peuvent aider les organisations à prévenir les attaques observées.