CometSoul

make IT easy

  • Bahasa Indonesia
  • English

    • Kerentanan FortiClient EMS Dieksploitasi untuk Menyebarkan EKZ Infostealer

    by

    Juni Artawan
    in

    Kerentanan FortiClient EMS Dieksploitasi untuk Menyebarkan EKZ Infostealer

    Kerentanan FortiClient EMS yang bersifat critical telah dieksploitasi oleh threat actor untuk menyebarkan malware pencuri kredensial bernama EKZ Infostealer.

    Celah ini dilacak sebagai CVE-2026-35616. Produk yang terdampak adalah FortiClient Endpoint Management Server, atau biasa disebut FortiClient EMS. Platform ini digunakan perusahaan untuk mengelola endpoint FortiClient, policy keamanan, profil VPN, dan konfigurasi endpoint dari satu sistem pusat.

    Menurut laporan The Hacker News dan Arctic Wolf, attacker menyalahgunakan jalur manajemen endpoint yang seharusnya tepercaya. Mereka memakai jalur itu untuk mengirim perintah berbahaya ke endpoint yang dikelola oleh FortiClient EMS. Payload yang dikirim dibuat seolah olah sebagai update endpoint Fortinet.

    Kasus ini serius karena sistem endpoint management punya posisi yang kuat di dalam organisasi. Jika attacker berhasil menyalahgunakan sistem seperti ini, mereka tidak perlu membobol setiap perangkat satu per satu. Mereka bisa memakai sistem manajemen itu sendiri sebagai jalur distribusi malware.

    Apa Itu Kerentanan FortiClient EMS?

    Kerentanan FortiClient EMS ini adalah masalah improper access control yang masuk kategori critical. Dalam advisory Fortinet, CVE-2026-35616 memiliki skor CVSSv3 9.1. Jenis serangannya unauthenticated, yang berarti attacker tidak membutuhkan username dan password valid untuk mengeksploitasi celah tersebut.

    Versi yang terdampak adalah FortiClient EMS 7.4.5 sampai 7.4.6. Fortinet telah memperbaiki masalah ini pada FortiClient EMS 7.4.7 dan versi setelahnya. Karena celah ini sudah dieksploitasi, organisasi yang masih memakai versi terdampak perlu segera melakukan patch.

    Bahaya utamanya bukan hanya celah itu sendiri. Risiko yang lebih besar adalah apa yang bisa dilakukan attacker setelah berhasil masuk. Dalam kampanye ini, attacker memodifikasi konfigurasi EMS lalu mendorong script berbahaya ke endpoint yang dikelola.

    Bagaimana Attacker Menyalahgunakan FortiClient EMS?

    Setelah mengeksploitasi CVE-2026-35616, attacker mengubah beberapa konfigurasi FortiClient EMS. Laporan menyebut mereka memodifikasi pengaturan terkait upgrade reminder, Remote Access Profile, dan endpoint policy.

    Perubahan itu memungkinkan attacker memasukkan script berbahaya yang dapat berjalan di endpoint. Karena jalurnya berasal dari sistem manajemen FortiClient sendiri, aktivitas ini bisa terlihat seperti operasi admin biasa.

    Arctic Wolf melihat proses seperti fortitray.exe atau ipsec.exe menjalankan command script melalui cmd.exe. Dari sana, script tersebut memanggil PowerShell. PowerShell lalu mengunduh dan menjalankan payload malware.

    Payload tersebut diberi nama FortiEndpoint_Patch.exe. Nama ini membuatnya terlihat seperti update Fortinet yang sah. Padahal, file tersebut adalah EKZ Infostealer.

    Apa Itu EKZ Infostealer?

    EKZ Infostealer adalah malware Windows yang dirancang untuk mencuri kredensial. Arctic Wolf mengamati malware ini dalam kampanye eksploitasi FortiClient EMS.

    Malware ini menargetkan browser berbasis Chromium seperti Chrome dan Microsoft Edge. Selain itu, ia juga menargetkan Firefox dan browser lain yang berbasis Gecko. Data yang bisa dicuri meliputi saved password, cookies, autofill, detail kartu kredit, alamat, nomor telepon, dan data lain yang tersimpan di browser.

    Ini berbahaya karena cookies browser kadang dapat dipakai ulang untuk masuk ke sesi yang sudah terautentikasi. Dalam beberapa kasus, attacker bisa memakai session tersebut untuk mengakses cloud service, aplikasi internal, atau sistem lain tanpa memicu permintaan MFA baru.

    EKZ Infostealer sendiri tidak langsung melakukan exfiltration melalui jaringan. Malware ini menyimpan data curian ke dalam file log. Setelah itu, script PowerShell mengirimkan data tersebut ke infrastruktur milik attacker melalui HTTP POST.

    Kenapa Serangan Ini Sangat Berisiko?

    Kerentanan FortiClient EMS ini berisiko tinggi karena attacker menyalahgunakan platform yang memang dipercaya untuk mengelola endpoint.

    Dalam kondisi normal, tim IT memang mengizinkan endpoint management tools untuk mengirim update, policy, script, dan konfigurasi VPN. Kepercayaan inilah yang disalahgunakan oleh attacker. Setelah mereka bisa mengubah konfigurasi EMS, setiap endpoint yang dikelola berpotensi menjadi target eksekusi malware.

    Serangan ini berbeda dari phishing biasa atau malware acak yang dikirim lewat email. Malware tidak harus membujuk setiap user untuk mengklik file. Ia bergerak melalui jalur manajemen yang memang sudah dipakai organisasi.

    Dampaknya juga bisa berlanjut setelah endpoint pertama terinfeksi. Jika kredensial browser atau session cookies berhasil dicuri, attacker dapat mencoba akses lanjutan ke cloud account, aplikasi internal, email, developer tools, atau sistem penting lain.

    Tanda yang Perlu Dicek oleh Tim IT

    Organisasi yang memakai FortiClient EMS perlu mengecek log dan aktivitas endpoint dengan teliti. Arctic Wolf menyebut beberapa tanda yang bisa membantu proses investigasi.

    Salah satu sinyal penting adalah aktivitas certificate authentication yang tidak biasa pada log EMS. Sinyal lain adalah perubahan Remote Access Profile yang tidak diharapkan, terutama jika ada script execution yang sebelumnya tidak disetujui.

    Tim security juga perlu mencari eksekusi PowerShell yang mencurigakan dari proses terkait FortiClient. Pola yang perlu diperhatikan adalah fortitray.exe atau ipsec.exe menjalankan cmd.exe, lalu berlanjut ke PowerShell, kemudian menjalankan file bernama FortiEndpoint_Patch.exe.

    Pada endpoint, cek apakah ada file mencurigakan di C:\ProgramData. Contohnya log.txt atau file executable yang memakai nama FortiEndpoint. Log jaringan juga perlu dicek untuk koneksi HTTP ke IP mencurigakan, terutama koneksi langsung ke raw IP yang dipakai untuk download payload atau pengiriman data.

    Apa yang Harus Dilakukan Sekarang?

    Langkah pertama adalah memastikan apakah organisasi memakai FortiClient EMS. Jika iya, cek versi yang sedang berjalan.

    Jika masih memakai FortiClient EMS 7.4.5 atau 7.4.6, segera upgrade ke FortiClient EMS 7.4.7 atau versi setelahnya. Release note Fortinet menyebut FortiClient EMS 7.4.7 sudah tidak rentan terhadap CVE-2026-35616.

    Setelah itu, batasi akses ke management port FortiClient EMS. Arctic Wolf menyarankan agar akses ke port 8013 hanya dibuka untuk IP tepercaya. Langkah ini penting, terutama jika EMS dapat diakses dari jaringan yang tidak sepenuhnya aman.

    Setelah patch, jangan langsung menganggap lingkungan sudah bersih. Tim perlu mengecek log EMS, log endpoint, alert EDR, riwayat PowerShell, perubahan VPN profile, dan file mencurigakan yang dibuat selama periode serangan.

    Jika ditemukan aktivitas EKZ Infostealer, rotasi kredensial harus menjadi prioritas. Saved password di browser, sesi cloud, akun admin, kredensial VPN, service account, dan kredensial aplikasi internal perlu dicek dan diganti jika berisiko.

    Kenapa Patch Saja Tidak Cukup?

    Patch memang wajib dilakukan. Namun patch hanya menutup celah untuk ke depannya. Patch tidak bisa menghapus kemungkinan bahwa attacker sudah sempat masuk sebelum update dilakukan.

    Karena itu, investigasi tetap penting. Tim perlu mencari tahu apakah server EMS yang rentan bisa dijangkau dari jaringan tidak tepercaya. Mereka juga harus memeriksa apakah ada perubahan konfigurasi yang tidak sah. Selain itu, perlu dicek apakah ada script endpoint yang dikirim tanpa persetujuan admin.

    Jika aktivitas mencurigakan terkonfirmasi, respons harus mencakup containment, forensic review, rotasi kredensial, pembersihan endpoint, dan monitoring untuk kemungkinan akses lanjutan.

    Kesimpulan

    Kerentanan FortiClient EMS CVE-2026-35616 menunjukkan betapa berbahayanya jika platform manajemen endpoint disalahgunakan. Attacker memakai celah critical ini untuk mendorong script berbahaya melalui jalur endpoint management yang dipercaya, lalu menyebarkan EKZ Infostealer dengan nama file yang terlihat seperti patch Fortinet.

    Organisasi yang memakai FortiClient EMS perlu upgrade ke versi 7.4.7 atau setelahnya, membatasi akses management port, mengecek log, dan memeriksa endpoint yang dikelola untuk tanda pencurian kredensial.

    Endpoint management tool sangat kuat karena dapat mengatur banyak perangkat sekaligus. Namun kekuatan yang sama bisa berubah menjadi risiko besar jika attacker menemukan jalan masuk.

    Source: https://thehackernews.com/2026/05/threat-actors-exploit-critical.html