O que aconteceu

O FortiClient EMS é usado por empresas para gerenciar endpoints Fortinet de forma centralizada. Segundo o relato analisado, atacantes estão explorando uma falha crítica de controle de acesso, registrada como CVE-2026-35616, para agir sem autenticação.

A Fortinet confirmou no início de abril que a vulnerabilidade estava sendo explorada e liberou hotfixes emergenciais para as versões 7.4.5 e 7.4.6. A CISA também reagiu rapidamente e determinou que agências federais corrigissem suas instâncias até o fim daquela semana. Na época, a Shadowserver Foundation relatou cerca de 2.000 instâncias de EMS expostas na internet.

Como o ataque funciona

O ponto central do ataque é simples de entender: o invasor consegue acessar funções administrativas do FortiClient EMS sem passar pelo processo normal de login. A partir disso, ele abusa de APIs de endpoint, modifica a configuração do EMS e altera políticas de VPN.

Em seguida, o atacante introduz scripts maliciosos nos fluxos de VPN gerenciados pelo FortiClient. O malware EKZ é disfarçado como se fosse uma atualização para endpoints Fortinet. Assim, quando os endpoints recebem a política ou o script, o código malicioso pode ser executado como parte de um processo aparentemente legítimo.

Sinais de alerta

Empresas que usam FortiClient EMS devem procurar mudanças inesperadas no ambiente. Os sinais mais importantes são:

• Alterações recentes em políticas de VPN que não foram aprovadas pelo time responsável.
• Scripts novos ou modificados em fluxos de VPN gerenciados pelo FortiClient.
• Configurações do EMS alteradas sem registro claro de solicitação ou mudança planejada.
• Execução de arquivos apresentados como atualização Fortinet, mas sem origem validada.
• Indícios de roubo de credenciais após mudanças em endpoints gerenciados.

O alerta é especialmente relevante para instâncias expostas na internet, já que o ataque descrito pode ser iniciado remotamente por solicitações criadas para explorar a falha.

O que fazer agora

A prioridade é reduzir a janela de exploração. Se sua empresa usa FortiClient EMS, confirme imediatamente a versão instalada e aplique os hotfixes emergenciais disponibilizados pela Fortinet para as versões afetadas mencionadas no alerta.

Também é importante revisar políticas de VPN, scripts associados e alterações administrativas recentes. Caso haja suspeita de execução do EKZ, trate o incidente como possível roubo de credenciais: isole endpoints impactados, revise acessos, force troca de senhas quando necessário e investigue contas usadas em serviços críticos.

Checklist pratico

1. Inventarie todas as instâncias de FortiClient EMS e verifique se alguma está exposta diretamente à internet.
2. Aplique os hotfixes emergenciais da Fortinet nas versões 7.4.5 e 7.4.6 quando aplicável.
3. Revise políticas de VPN, scripts e mudanças de configuração realizadas desde o início de abril.
4. Procure arquivos ou processos relacionados a uma suposta atualização Fortinet não validada.
5. Se houver suspeita de EKZ, conduza resposta a incidente com foco em credenciais roubadas.

Perguntas frequentes

O que é a CVE-2026-35616?

É uma falha de controle de acesso no FortiClient EMS que permite a um atacante remoto executar comandos ou código sem autenticação, por meio de solicitações especialmente criadas.

O que é o EKZ?

EKZ é um infostealer observado nessa campanha. Esse tipo de malware busca roubar credenciais e outras informações sensíveis de sistemas comprometidos.

Quem deve agir com urgência?

Empresas que usam FortiClient EMS, principalmente com instâncias acessíveis pela internet, devem verificar correções, políticas de VPN e scripts administrativos imediatamente.

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
https://www.bleepingcomputer.com/news/security/hackers-exploit-forticlient-ems-flaw-to-push-infostealer-malware/