AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

Hackers aprovechan vulnerabilidad crítica en FortiClient EMS para distribuir el stealer EKZ

admin

Introducción

En las últimas semanas, se ha detectado una campaña activa de ataques dirigida a organizaciones que utilizan FortiClient Enterprise Management Server (EMS), en la que actores maliciosos explotan una vulnerabilidad de bypass de autenticación (CVE-2026-35616). El objetivo es desplegar un malware de tipo credential stealer, hasta ahora no documentado, denominado EKZ. Este suceso subraya la creciente sofisticación y rapidez de respuesta de los grupos de amenaza frente a vulnerabilidades críticas en productos de gestión de endpoints, así como la importancia de mantener prácticas de ciberseguridad proactivas en infraestructuras críticas.

Contexto del Incidente o Vulnerabilidad

FortiClient EMS es una solución ampliamente utilizada para la administración centralizada de endpoints en entornos empresariales, permitiendo la gestión de políticas de seguridad, actualización de firmas y monitorización avanzada. La vulnerabilidad CVE-2026-35616, descubierta recientemente, afecta a varias versiones del producto, permitiendo a un atacante remoto eludir los mecanismos de autenticación y obtener acceso no autorizado al panel de administración.

La explotación de vulnerabilidades en soluciones de gestión es especialmente grave, dado que estas herramientas poseen privilegios elevados y acceso extendido a múltiples sistemas, lo que las convierte en un objetivo prioritario para grupos APT y cibercriminales. En este caso, el uso de EKZ introduce un riesgo adicional, ya que se trata de un stealer indetectado previamente por los principales motores antivirus y EDR, dificultando su detección y contención.

Detalles Técnicos: CVE-2026-35616 y el stealer EKZ

La vulnerabilidad CVE-2026-35616 reside en la lógica de autenticación de FortiClient EMS. Permite a un atacante remoto, sin credenciales válidas, saltarse el proceso de login mediante el envío de solicitudes HTTP especialmente manipuladas al puerto de administración (por defecto, 443 o 10443). El fallo afecta a las versiones 7.2.1 y anteriores, así como a la rama 7.0.x, multiplicando la superficie de ataque en entornos que no han aplicado los últimos parches de seguridad.

Una vez conseguido el acceso, los atacantes aprovechan la sesión válida para cargar y ejecutar el malware EKZ en el servidor comprometido. EKZ es un credential stealer modular, desarrollado en C++ y dotado de capacidades para exfiltrar credenciales almacenadas en navegadores, gestores de contraseñas y clientes VPN, así como información sensible del sistema comprometido. El malware utiliza técnicas de evasión de análisis, como el uso de packers personalizados y la inyección en procesos legítimos de Windows (T1055 – MITRE ATT&CK).

Se han identificado indicadores de compromiso (IoC) asociados a la campaña, incluyendo hashes de EKZ, direcciones IP de C2 y artefactos en los registros del EMS tras la explotación. Asimismo, se ha observado el uso de herramientas como Metasploit para automatizar la explotación, lo que incrementa el riesgo de ataques masivos por parte de actores menos sofisticados.

Impacto y Riesgos

El impacto potencial de este incidente es elevado, dado que la explotación de la vulnerabilidad permite el acceso total a la consola de administración de endpoints y la exfiltración de credenciales críticas. Esto puede derivar en movimientos laterales, escalada de privilegios y la implantación de ransomware o backdoors persistentes. Según los primeros análisis, más del 30% de las instalaciones de FortiClient EMS expuestas en Shodan permanecen vulnerables, afectando a cientos de organizaciones a nivel global. Las pérdidas económicas asociadas, tanto por robo de información como por interrupciones operativas, pueden superar los millones de euros, especialmente en sectores regulados por la GDPR y la NIS2.

Medidas de Mitigación y Recomendaciones

Fortinet ha publicado actualizaciones de seguridad para corregir CVE-2026-35616 en las versiones 7.2.2 y 7.0.11 de EMS, recomendando su aplicación inmediata. Se aconseja realizar un análisis exhaustivo de los logs de acceso y tráfico sospechoso en el puerto de administración, así como la revisión de credenciales y la rotación de contraseñas de administración. Es imperativo segmentar la red para limitar el acceso al EMS, restringiendo los puertos de administración a direcciones IP internas o de confianza, y habilitar la autenticación multifactor (MFA) siempre que sea posible.

Se recomienda utilizar reglas YARA y firmas actualizadas de EDR para la detección de EKZ, así como monitorizar los IoC publicados por los equipos de threat intelligence. Las organizaciones deben reforzar sus procedimientos de respuesta ante incidentes, incluyendo simulacros de intrusión y la actualización constante de los planes de contingencia.

Opinión de Expertos

Especialistas en ciberseguridad coinciden en que la explotación de CVE-2026-35616 representa un ejemplo paradigmático de cómo las amenazas pueden evolucionar rápidamente tras la divulgación de una vulnerabilidad crítica. “El despliegue de EKZ demuestra que los actores de amenazas no solo buscan acceso, sino también persistencia y máxima monetización de los activos comprometidos”, señala Javier García, analista de amenazas en una multinacional del sector. Añade que la falta de segmentación y la exposición innecesaria de consolas de administración siguen siendo errores recurrentes en muchas empresas.

Implicaciones para Empresas y Usuarios

La explotación activa de esta vulnerabilidad implica que los equipos de seguridad deben adoptar una postura defensiva más proactiva, priorizando la gestión de vulnerabilidades y la monitorización continua de activos críticos. Para las organizaciones sujetas a GDPR y NIS2, una brecha asociada a la exfiltración de credenciales puede conllevar sanciones significativas y un deterioro reputacional irreversible. Los usuarios finales también se ven afectados, ya que el robo de credenciales puede facilitar ataques de phishing, suplantación de identidad y compromiso de cuentas personales y corporativas.

Conclusiones

La campaña dirigida a FortiClient EMS mediante la explotación de CVE-2026-35616 y la distribución del stealer EKZ constituye una alerta sobre la necesidad de mantener una vigilancia constante y una respuesta ágil ante vulnerabilidades críticas en infraestructuras de gestión. La actualización inmediata, la restricción de acceso y el refuerzo de las capacidades de detección son medidas imprescindibles para mitigar el impacto de estas amenazas, que evolucionan a un ritmo vertiginoso y pueden tener consecuencias devastadoras para organizaciones de cualquier tamaño y sector.

(Fuente: www.bleepingcomputer.com)