Jūsų VPN klientas jus išdavė: per FortiClient spragą vagiama viskas

Įsivaizduokite: jūsų įmonės darbuotojų kompiuteriuose veikia „FortiClient" — programinė įranga, kurią pasitikite kaip apsaugos priemonę. Būtent per ją, o ne apeinant, užpuolikai įsliūkina į sistemą. Taip nutiko šimtams organizacijų, kurios naudojo „FortiClient Enterprise Management Server" (EMS) ir nespėjo užlopyti kritinės spragos. Pavadinta CVE-2026-35616, ši autentifikacijos apėjimo klaida leido pašaliniams be jokių prisijungimo duomenų vykdyti komandas serveriuose, o paskui — ir pačiuose galiniuose įrenginiuose.

Spraga, kurią užčiuopė per lėtai

„Fortinet" pripažino, kad pažeidžiamumas buvo aktyviai išnaudojamas, dar balandžio pradžioje. Kompanija išleido skubius pataisymus versijoms 7.4.5 ir 7.4.6, tačiau iki to laiko tūkstančiai „FortiClient EMS" serverių jau buvo matomi internete. „The Shadowserver Foundation" tuo metu pranešė apie maždaug 2 000 viešai pasiekiamų EMS instancijų, o JAV Kibernetinio saugumo ir infrastruktūros apsaugos agentūra (CISA) pareikalavo, kad federalinės agentūros sutvarkytų savo sistemas iki tos pačios savaitės pabaigos.

Nepaisant šių perspėjimų, ataka nesustojo. „Arctic Wolf" tyrėjai šį mėnesį užfiksavo, kad užpuolikai naudoja šią pačią spragą pristatyti iki šiol nedokumentuotą kenkėjišką programą, pavadintą „EKZ Infostealer". Ir čia slypi visa šios atakos gudrybė: ji ne tik įsilaužia, bet ir apsimeta teisėtu atnaujinimu.

Kai jūsų apsaugos įrankis tampa priešu

„Arctic Wolf" ataskaitoje aprašoma grandinė yra preciziška. Užpuolikas pirmiausia išnaudoja CVE-2026-35616, kad be autentifikacijos pasiektų EMS API. Tada modifikuoja EMS konfigūraciją ir VPN politikas — įterpia kenkėjiškus scenarijus, kurie įvykdomi iškart po to, kai galiniai įrenginiai užmezga IPsec tunelį su „FortiGate" ugniasiene.

Ir čia prasideda tikrasis košmaras. Praėjus vos kelioms sekundėms po prisijungimo, teisėtas „fortitray.exe" procesas paleidžia kenkėjiškus „Command Prompt" scenarijus. Tie scenarijai iššifruoja base64 koduotą „PowerShell" užkrovą, kuri atsisiunčia ir įvykdo kenkėjišką programą, užmaskuotą kaip „Fortinet" pataisą. Duomenys iš karto eksfiltruojami į užpuoliko valdomą serverį HTTP protokolu.

„Vietoj įprasto kenkėjiško masalo, užkrova buvo pateikta kaip „Fortinet" galinio įrenginio atnaujinimas ir įvykdyta per „FortiClient" valdomus VPN scenarijus", — rašoma „Arctic Wolf" ataskaitoje. Kitaip tariant, jūsų pačių VPN klientas, kuriuo pasitikite, tapo durimis vagiui.

Ką vagia EKZ

Pati EKZ programa yra klasikinė informacijos vagystės priemonė, tačiau jos taikymo būdas — per patikimą programinę įrangą — išskirtinis. Ji nusitaiko į „Chromium" pagrindu veikiančias ir „Firefox" naršykles, išgauna saugomus slaptažodžius, kreditinių kortelių duomenis, adresus, telefono numerius ir slapukus. Pastarieji yra ypač pavojingas grobis: turėdamas aktyvų slapuką, užpuolikas gali prisijungti prie paskyros net ir tada, kai ji apsaugota kelių veiksnių autentifikavimu (MFA), nes slaptažodžio ir kodo sistema jo tiesiog nebeprašo.

„Arctic Wolf" tyrėjai nurodo vieną aiškų požymį, kuris gali padėti organizacijoms aptikti ataką. EMS žurnaluose reikėtų ieškoti įrašo „Certificate not found in request header". Laboratoriniuose bandymuose šis pranešimas atsirasdavo prieš pat kitą įrašą: „Certificate user: fortinet-ca2 … successfully updated". Taip pat rekomenduojama tikrinti, ar nebuvo netikėtų pakeitimų nuotolinės prieigos profilių konfigūracijoje.

Kodėl „Fortinet" spragos kartojasi

„FortiClient EMS" pažeidžiamumas nėra izoliuotas atvejis — tai simptomas. Per pastaruosius dvejus metus „Fortinet" produktuose buvo aptikta daugiau nei dvi dešimtys aktyviai išnaudojamų nulinių dienų spragų. 2024-aisiais Kinijos kibernetinio šnipinėjimo grupė „Volt Typhoon" naudojo „FortiOS" SSL VPN spragą įsiskverbti į JAV kritinės infrastruktūros tinklus. 2025-aisiais kita spraga leido užpuolikams perimti „FortiGate" ugniasienių valdymą. Ir štai dabar — EMS.

Bendra gija yra ta pati: „Fortinet" įranga yra visur. Kompanija valdo maždaug trečdalį pasaulinės ugniasienių rinkos, o jos produktus naudoja ir bankai, ir ligoninės, ir vyriausybinės agentūros. Kai tokia paplitusi įranga turi valdymo sąsają, pasiekiamą internetu be tinkamos autentifikacijos, pasekmės yra sisteminės — ne vienos įmonės, o viso sektoriaus problema.

Ypač nerimą kelia tai, kad EMS yra centrinis valdymo mazgas: per jį administratoriai valdo šimtus ar tūkstančius galinių įrenginių. Užpuolus EMS, atakuotojas ne tik patenka į serverį — jis gauna raktus į visą įmonės įrenginių parką. Būtent todėl „Arctic Wolf" ataskaita pabrėžia ne tik pačios spragos kritiškumą, bet ir atakos architektūrą: vietoj vieno įsilaužimo, čia veikia daugiklio efektas.

Lietuvos kontekste „Fortinet" įranga taip pat plačiai naudojama tiek viešajame sektoriuje, tiek privačiose įmonėse. Nėra viešų duomenų, kiek tiksliai EMS serverių yra Lietuvoje, tačiau bet kuri organizacija, naudojanti „FortiClient" centralizuotam galinių įrenginių valdymui, turėtų nedelsdama patikrinti savo EMS versiją ir, jei reikia, atnaujinti.

Ką daryti dabar

Pagrindinė rekomendacija yra akivaizdi, bet ne visada įvykdoma laiku: nedelsiant atnaujinti „FortiClient EMS" į naujausią versiją. Tačiau vien to nepakanka. Organizacijos turėtų peržiūrėti VPN politikų pakeitimų istoriją, patikrinti sertifikatų autentifikacijos anomalijas ir įsitikinti, ar galiniuose įrenginiuose nėra įtartinų „PowerShell" vykdymo įrašų.

Istorija su „FortiClient EMS" dar kartą primena skaudžią tiesą: kibernetinio saugumo grandinė yra tiek stipri, kiek silpniausia jos grandis. Ir kai ta grandis yra jūsų pačių pasirinktas apsaugos įrankis, pasekmės tampa asmeninės.