Explotación de vulnerabilidad crítica en FortiClient EMS para robar credenciales
Publicado el
Explotación de una vulnerabilidad crítica en FortiClient EMS
Los actores de amenazas han comenzado a explotar una vulnerabilidad crítica en el FortiClient Endpoint Management Server (EMS), que ya ha sido corregida, para implementar malware diseñado para el robo de credenciales. Según Arctic Wolf, esta campaña utiliza la infraestructura de gestión de endpoints de confianza para distribuir malware en dispositivos gestionados.
La vulnerabilidad, identificada como CVE-2026-35616 con una puntuación CVSS de 9.1, permite una bypass en el acceso a la API previa a la autenticación, lo que puede llevar a una escalada de privilegios. Fortinet ha abordado este problema en las versiones 7.4.7 y posteriores de FortiClient EMS.
Mecanismo del ataque
Los atacantes han disfrazado el payload del malware como una actualización de Fortinet para los endpoints, ejecutando de forma silenciosa un ejecutable malicioso a través de PowerShell. Este patrón de actividad observado en mayo de 2026 sugiere que los ciberdelincuentes utilizaron el propio camino de gestión de FortiClient para enviar comandos PowerShell maliciosos a los endpoints gestionados, lo que permitió que cada dispositivo se convirtiera en un objetivo potencial sin necesidad de una intrusión separada.
Además, el ataque ha utilizado fortitray.exe, un ejecutable legítimo asociado a FortiClient, para lanzar un archivo de script .cmd mediante cmd.exe. Este script está diseñado para invocar un script de PowerShell codificado en Base64, responsable de descargar un payload malicioso, ejecutarlo y exfiltrar los resultados a una dirección controlada por los atacantes a través de una petición HTTP POST.
Datos robados y su exfiltración
El ejecutable, denominado FortiEndpoint_Patch.exe, finge ser una actualización, pero en realidad se trata de un información stealer de Windows que puede recolectar datos sensibles, como contraseñas, cookies y detalles de autocompletado, incluyendo información de tarjetas de crédito, direcciones y números de teléfono de navegadores basados en Chromium y Gecko. Los datos son registrados en un archivo y guardados en el directorio ProgramData. Cabe destacar que el stealer carece de capacidades de exfiltración basadas en red; es el script de PowerShell el que transmite los datos capturados a la infraestructura controlada por los atacantes.
Arctic Wolf advierte que al eludir la autenticación de la API e interactuar con la funcionalidad de EMS en un contexto privilegiado, los actores de amenazas pudieron modificar la configuración de gestión y enviar scripts maliciosos para su ejecución en los endpoints gestionados. Las cookies de sesión y las credenciales guardadas en los navegadores podrían permitir a los atacantes acceder a servicios en la nube, aplicaciones internas y otros recursos autenticados, incluida la posibilidad de evitar los desafíos de MFA mediante la reutilización de sesiones.
Las organizaciones deben asegurarse de que sus sistemas estén actualizados a la última versión de FortiClient EMS para protegerse contra esta vulnerabilidad y adoptar medidas de seguridad adicionales para mitigar el riesgo de ataques de este tipo.