Lunedi 06 Luglio 2026 21:28:18 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Vulnerabilità e gestione delle patch

FortiClient EMS aggirato, poi trasformato in un canale per il furto di credenziali

Pubblicato: 29 Maggio 2026 02:04Categoria: Vulnerabilità e gestione delle patchArea: America del Nord / USAAutore: SECURESPECTER

Una falla critica nel controllo degli accessi di FortiClient EMS è stata usata per distribuire un falso aggiornamento Fortinet, eseguire script tramite flussi VPN fidati e installare l'infostealer EKZ sugli endpoint gestiti.

I team di sicurezza tendono a fidarsi dei sistemi che gestiscono la sicurezza stessa. È proprio questa fiducia a rendere FortiClient EMS un bersaglio di alto valore. In questo caso, una falla tracciata come CVE-2026-35616 è stata usata in una campagna che è passata dall'abuso non autenticato delle API all'esecuzione di script e al furto di credenziali, il tutto sfruttando l'aspetto della normale gestione degli endpoint.

Fatti rapidi

  • CVE-2026-35616 interessa FortiClient Enterprise Management Server ed è descritta come un problema di controllo degli accessi improprio.
  • Fortinet ha dichiarato che la falla era in fase di sfruttamento e ha rilasciato correzioni di emergenza per FortiClient EMS 7.4.5 e 7.4.6.
  • La catena d'attacco osservata ha abusato delle API di EMS, alterato le impostazioni delle policy relative alla VPN e attivato script malevoli tramite i flussi di lavoro gestiti da FortiClient.
  • Il payload è stato identificato come EKZ Infostealer, che prende di mira i dati memorizzati dai browser basati su Chromium e Firefox.
  • Ai difensori è stato consigliato di monitorare anomalie nell'autenticazione tramite certificato e modifiche inattese ai profili di accesso remoto.

Come un server di gestione è diventato il meccanismo di distribuzione

Il rischio tecnico qui non è solo il bug in sé, ma il ruolo che EMS svolge in un'azienda. Un server di gestione può influenzare le policy degli endpoint, il comportamento della VPN e le azioni scriptate. Quando gli aggressori riescono a inviare richieste costruite in modo da essere trattate come azioni amministrative, possono reindirizzare quella fiducia verso percorsi di esecuzione sotto il loro controllo.

Nella catena osservata, gli aggressori hanno usato l'API di EMS per modificare la configurazione e le policy VPN, poi hanno atteso un evento di connessione del tunnel per attivare uno script. Un componente legittimo di FortiClient, fortitray.exe, è stato quindi visto avviare attività da riga di comando che hanno portato a PowerShell. Questo è importante perché PowerShell è uno strumento comune di living-off-the-land: può sembrare amministrazione di routine, a meno che i difensori non lo colleghino al processo padre sbagliato o a un modello temporale inatteso.

Il payload era mascherato da aggiornamento Fortinet, un classico stratagemma di social engineering applicato all'interno di un flusso di lavoro fidato. EKZ è di per sé un ladro di credenziali, non un wiper rumoroso né un droppper di ransomware. Questo rende la campagna più sottile e potenzialmente più duratura: cookie del browser e credenziali salvate possono essere per un attaccante preziosi quanto i file sul disco, soprattutto quando possono essere riutilizzati per accedere a servizi cloud o portali interni.

Al momento della stesura, le informazioni pubbliche non definiscono completamente l'estensione delle organizzazioni o degli endpoint colpiti. Le prove disponibili supportano una valutazione del rischio, non l'affermazione che ogni distribuzione di FortiClient EMS sia stata compromessa.

Perché i difensori dovrebbero preoccuparsi subito

Questo incidente evidenzia un modello che i team di sicurezza affrontano sempre più spesso: gli aggressori non sempre devono violare direttamente la protezione degli endpoint se possono abusare del piano di controllo che la gestisce. Una volta che entrano in gioco motori di policy, hook di scripting e flussi di lavoro di accesso remoto, un singolo bypass dell'autenticazione può diventare un percorso ripetibile per la distribuzione di malware.

I segnali di hunting più forti sono comportamentali. Cercate errori di autenticazione basata su certificato come "Certificate not found in request header", aggiornamenti di certificato inattesi e modifiche ai profili di accesso remoto non pianificate. Inoltre, considerate sospetti, finché non verificati rispetto a policy approvate, cmd.exe o PowerShell avviati da processi FortiClient fidati subito dopo la connessione VPN.

Conclusione

La lezione è semplice ma scomoda: gli strumenti di gestione non sono sicuri solo perché sono fidati. Quando un attaccante raggiunge il sistema che definisce la policy, il confine tra amministrazione e intrusione può sparire rapidamente. In questo caso, la vera superficie di compromissione non era solo l'endpoint, ma il meccanismo usato per governarlo.

TECHCROOK

Chiave di sicurezza hardware: Una chiave di sicurezza hardware è un piccolo dispositivo per l'autenticazione multifattore resistente al phishing. È utile per proteggere email, VPN, cloud e account amministrativi quando le password o le credenziali memorizzate nel browser vengono esposte. Molti modelli supportano FIDO2/WebAuthn e funzionano con i gestori di password più comuni. Per i team, standardizzare l'uso delle chiavi può ridurre la dipendenza da codici SMS e password riutilizzabili.

Scheda Techcrook: Chiave di sicurezza hardware

WIKICROOK

  • Controllo degli accessi improprio: una falla in cui un sistema non limita le azioni agli utenti o ai processi autorizzati.
  • Piano di gestione: il livello amministrativo usato per configurare, monitorare e controllare dispositivi o servizi.
  • PowerShell: una shell dei comandi e un ambiente di scripting per Windows spesso abusati per eseguire codice malevolo.
  • Infostealer: malware progettato per raccogliere credenziali, cookie e altri dati sensibili da un dispositivo.
  • Flusso di lavoro di script VPN: un percorso di automazione legittimo che esegue script quando un tunnel VPN si connette o si disconnette.