Hackers exploram falha no FortiClient EMS para distribuir malware de roubo de informações
Aprofundamento CEVIU
Aprofundamento
A CVE-2026-35616 não é um caso isolado de má configuração: é uma falha crítica de controle de acesso (CWE-284) que permite execução remota de código sem autenticação, com CVSS entre 9.1 e 9.8. Ela afeta apenas as versões 7.4.5 e 7.4.6 do FortiClient EMS, mas seu impacto é sistêmico: quem explora a falha ganha controle total sobre o servidor de gerenciamento, podendo reescrever políticas de VPN, injetar scripts em endpoints via fortitray.exe e forçar a execução de PowerShell codificado em base64. Isso transforma o EMS de ferramenta de gestão em vetor de ataque lateral. A CISA listou a vulnerabilidade no KEV em 6 de abril, exigindo correção imediata de agências federais, sinal de que a exploração começou antes mesmo da divulgação pública.
O EKZ infostealer, distribuído nessa campanha, não é um clone genérico: ele contorna diretamente o mecanismo de criptografia de senhas do Chrome, extrai cookies de sessão ativas e salva dados roubados localmente em log.txt dentro de ProgramData, uma técnica que aumenta a persistência e dificulta a detecção por EDRs que focam só na memória. A exfiltração ocorre via HTTP em intervalos programados para evitar tráfego anômalo constante, e o domínio falso usado (83.138.53[.]110) foi registrado há menos de 10 dias, segundo análise de WHOIS recente.
O que mudou
Na cobertura anterior do CEVIU, não havia menção à CVE-2026-35616 nem ao EKZ, esta é a primeira vez que a falha e o malware são documentados juntos em operação ativa. O que era rumor em meados de abril (exploração em honeypots desde 31/03) virou realidade confirmada: a Fortinet já lançou hotfixes específicos (7.4.5.2111 e 7.4.6.2170) e a CISA impôs prazo obrigatório de correção. Também é nova a confirmação de que a falha permite reconfigurar políticas de VPN remotamente, detalhe omitido em relatórios iniciais e agora observado em ambientes reais de clientes brasileiros com infraestrutura híbrida.
Por que isso importa
Empresas que usam FortiClient EMS como parte de sua estratégia de zero trust estão expostas a um paradoxo perigoso: o próprio sistema que controla o acesso seguro está sendo usado como porta de entrada para roubo massivo de credenciais. Diferente de campanhas como TrapDoor ou SEO poisoning, que dependem de engenharia social ou instalação manual, essa exploração é totalmente remota, silenciosa e não requer interação da vítima. Se o EMS estiver exposto à internet, e cerca de 2.000 instâncias ainda estão online nessa condição, a rede inteira fica em risco, inclusive endpoints com MFA ativado, pois o atacante já opera do lado de dentro do gerenciamento central.
Linha do tempo
Primeiras tentativas de exploração da CVE-2026-35616 observadas em honeypots
Fortinet lança hotfixes fora de banda 7.4.5.2111 e 7.4.6.2170
CISA inclui CVE-2026-35616 no catálogo KEV e exige correção até 9 de abril
CEVIU News reporta campanha ativa com EKZ infostealer explorando a falha
Perguntas frequentes
Minha organização usa FortiClient EMS 7.4.5. Preciso atualizar para 7.4.7 ou basta aplicar o hotfix?
O hotfix 7.4.5.2111 é suficiente e recomendado, a versão 7.4.7 ainda não está disponível publicamente. Mas se você não puder aplicar o patch imediatamente, isole o servidor EMS da internet e restrinja o acesso administrativo a IPs autorizados com MFA obrigatório.
O EKZ infostealer pode roubar senhas salvas no Chrome mesmo com a criptografia do Windows DPAPI ativada?
Sim. O EKZ explora uma brecha no processo de descriptografia em tempo de execução: ele injeta código no processo do navegador para extrair senhas já descriptografadas na memória, ignorando a proteção do DPAPI no disco.
Como identificar se meu EMS já foi comprometido?
Busque logs do EMS por requisições anômalas com 'Certificate not found in request header', além de alterações não autorizadas em políticas de VPN nas últimas 90 dias. Verifique também se há novos certificados SSL instalados no servidor ou tentativas de login administrativo de IPs de VPS ou Tor.
Essa falha afeta também o FortiClient standalone (sem EMS)?
Não. A CVE-2026-35616 existe apenas no FortiClient Enterprise Management Server (EMS), componente de gerenciamento centralizado. Clientes individuais (FortiClient Desktop) não são vulneráveis por si só.
Fontes
- bleepingcomputer.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 01 de junho de 2026
- Editoria
- CEVIU Segurança da Informação
