文章总结： 黑客利用FortiClientEMS身份验证绕过漏洞CVE-2026-35616传播EKZ信息窃取恶意软件，攻击者通过篡改VPN脚本工作流程伪装成系统更新程序执行窃取行为。该漏洞允许未授权远程代码执行，影响约2000个暴露实例。Fortinet已发布紧急修复，北极狼公司建议监控证书异常及配置变更，警惕可疑管理活动。 综合评分： 85 文章分类： 漏洞分析,恶意软件,应急响应,威胁情报,安全运营

【安全圈】黑客利用 FortiClient EMS 漏洞推送信息窃取恶意软件

安全圈

2026年5月29日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

恶意软件

黑客正在利用 FortiClient 企业管理服务器（EMS）中的一个身份验证绕过漏洞（CVE – 2026 – 35616），来传播一款未公开的名为 EKZ 的凭证窃取程序。

攻击者将该恶意软件伪装成 Fortinet 终端的更新程序，并通过由 FortiClient 管理的 VPN 脚本工作流程来执行它。

被利用的这个严重漏洞属于访问控制不当问题，使得未经身份验证的远程攻击者能够通过特制请求执行任意代码或命令。

飞塔公司（Fortinet）在 4 月初确认该漏洞已被利用，并针对产品的 7.4.5 和 7.4.6 版本发布了紧急热修复程序。

美国网络安全与基础设施安全局（CISA）对这一恶意活动反应迅速，责令联邦机构在当周周末前保护好各自的系统实例。与此同时，互联网安全监督组织 Shadowserver 基金会当时报告称，发现有 2000 个暴露在互联网上的 EMS 实例。

本月早些时候，网络安全公司北极狼（Arctic Wolf）观察到利用该漏洞传播 EKZ 信息窃取程序的攻击活动。研究人员指出，入侵始于滥用终端应用程序编程接口（API），在无需身份验证的情况下执行管理操作。

随后，攻击者修改 EMS 配置和 VPN 策略，以引入恶意脚本的执行。在终端与 FortiGate 防火墙建立 IPsec 隧道几秒钟后，合法的 fortitray.exe 程序通过命令提示符启动恶意批处理脚本。

这些脚本执行经过 Base64 编码的 PowerShell 有效载荷，该有效载荷会下载并运行伪装成 Fortinet 补丁的恶意软件，然后通过 HTTP 将数据渗出到攻击者控制的虚拟专用服务器（VPS）。

北极狼的报告中写道：“该有效载荷并非依赖于常见的恶意软件诱饵，而是伪装成 Fortinet 终端更新程序，并通过 FortiClient 管理的 VPN 脚本工作流程来执行。”

“在受影响的终端上，FortiClient 组件启动命令脚本，调用 PowerShell，下载一个凭证窃取程序，静默执行该程序，并在清除本地痕迹之前，渗出获取到的浏览器数据。”

被下载的有效载荷即 EKZ 信息窃取程序，具备相当标准的信息窃取功能。它同时针对基于 Chromium 内核的浏览器和 Firefox 浏览器，在绕过加密密码保护的情况下，将存储的数据提取到文本文件中。

该恶意软件的目标包括凭证、信用卡详细信息、地址、电话号码和 cookie，利用这些信息，攻击者无需登录，就能访问受多因素身份验证保护的账户。

北极狼表示，在传播 EKZ 信息窃取程序的攻击中，一个试图利用该漏洞的迹象是日志中出现 “请求头中未找到证书” 这一行内容。在实验室测试中，几秒后会紧接着出现另一条记录：证书用户：fortinet – ca2…… 已成功更新。

因此，研究人员建议安全防护人员留意证书认证异常情况，以及远程访问配置文件设置的意外更改。

任何可疑的管理活动，如新账户的创建、来自不熟悉来源（如 Tor、VPS IP 地址）的登录，或导致配置更改的操作，都应被视为危险信号。

END

阅读推荐

【安全圈】百余个政务平台、企业官网遭黑：点开竟跳转涉黄网站！官方披露：黑客仅初中学历

【安全圈】新浏览器侧信道攻击 FROST 曝光：分析 SSD 固态硬盘活动监视访客

【安全圈】Gitea 漏洞无需身份验证即可暴露私有容器镜像

【安全圈】滴滴崩了？最新回应！

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】黑客利用 FortiClient EMS 漏洞推送信息窃取恶意软件》