Lỗ hổng nghiêm trọng FortiClient EMS bị khai thác trong các cuộc tấn công mới

Một lỗ hổng bảo mật nghiêm trọng trong phần mềm FortiClient Endpoint Management Server (EMS), vốn đã được phát hành bản vá vào tháng 4, hiện đang bị các Hacker khai thác trong các cuộc tấn công mới nhằm triển khai malware đánh cắp thông tin. Theo báo cáo từ Arctic Wolf, lỗ hổng này đang được sử dụng tích cực để nhắm vào các hệ thống chưa kịp cập nhật.

Lỗ hổng được theo dõi dưới mã định danh CVE-2026-35616, với điểm số nguy hiểm CVSS là 9.1. Đây là lỗi thực thi mã từ xa (RCE) cho phép kẻ tấn công khai thác thông qua các yêu cầu được chế tạo đặc biệt mà không cần yêu cầu xác thực người dùng.

Mối đe dọa an ninh mạng mới

Chi tiết về lỗ hổng và cuộc tấn công

Fortinet đã tung ra các bản vá nóng (hotfix) cho lỗi bảo mật này vào đầu tháng 4 và từng cảnh báo về việc lỗ hổng đã bị khai thác dưới dạng zero-day (lỗ hổng chưa biết đến trước đó), kêu gọi người dùng cập nhật khẩn cấp.

Tuy nhiên, các triển khai FortiClient EMS chưa được vá hiện đang bị nhắm mục tiêu trong một chiến dịch triển khai EKZ Infostealer (phần mềm đánh cắp thông tin EKZ). Mã độc này được ngụy trang khéo léo dưới dạng một bản vá điểm cuối giả mạo của Fortinet.

Cơ chế hoạt động của Hacker

Theo Arctic Wolf, tải độc (payload) đã được thực thi thông qua quy trình làm việc của kịch bản VPN do FortiClient quản lý. Các Hacker sử dụng các tập lệnh lệnh để gọi PowerShell, cho thấy chúng có hiểu biết sâu sắc về môi trường bị ảnh hưởng.

"Mô hình thực thi được quan sát thấy cho thấy các tác nhân đe dọa đã sử dụng chính đường dẫn quản lý của FortiClient để đẩy các lệnh PowerShell độc hại đến các điểm cuối được quản lý theo cách giống như các hoạt động quản lý hợp pháp," Arctic Wolf nhận định.

Vì FortiClient EMS hoạt động như một nền tảng quản lý tập trung cho các thiết bị, chính sách và cấu hình FortiClient, việc truy cập vào thiết bị này cho phép kẻ tấn công thực thi mã trên mọi điểm cuối được quản lý.

Minh họa bảo mật

Mối đe dọa từ Malware đánh cắp thông tin

Phần mềm đánh cắp thông tin được triển khai trong các cuộc tấn công này nhắm mục tiêu vào các trình duyệt Chrome, Microsoft Edge, Firefox và các trình duyệt khác dựa trên Chromium và Gecko. Mục tiêu của chúng là lấy cắp thông tin đăng nhập, cookie và dữ liệu tự động điền (autofill). Dữ liệu bị đánh cắp sau đó được chuyển ra ngoài qua giao thức HTTP.

Arctic Wolf lưu ý rằng ứng dụng này không sở hữu khả năng exfiltrate thông tin xác thực dựa trên mạng; thay vào đó, nó xuất thông tin xác thực từ các trình duyệt được hỗ trợ ra một tệp nhật ký đầu ra.

Khuyến nghị từ chuyên gia

Cục An ninh mạng và Cơ sở hạ tầng (CISA) của Mỹ đã thêm lỗi bảo mật này vào danh sách "Lỗ hổng đã bị khai thác" (Known Exploited Vulnerabilities - KEV) vào ngày 6 tháng 4. Các tổ chức được khuyên áp dụng các bản vá của Fortinet cho CVE-2026-35616 càng sớm càng tốt để ngăn chặn nguy cơ bị xâm nhập.

Việc trì hoãn cập nhật trong môi trường doanh nghiệp có thể dẫn đến hậu quả nghiêm trọng, cho phép kẻ tấn công chiếm quyền kiểm soát toàn bộ hệ thống máy trạm.