Hackers estão explorando uma vulnerabilidade crítica de bypass de autenticação (CVE-2026-35616) no FortiClient Enterprise Management Server (EMS) para implantar um malware chamado EKZ, que rouba credenciais. O ataque se disfarça como uma atualização legítima para endpoints da Fortinet e é executado através de fluxos de trabalho de script VPN gerenciados pelo FortiClient. Essa falha de controle de acesso inadequado permite que atacantes remotos não autenticados executem comandos arbitrários. A Fortinet confirmou a exploração da vulnerabilidade em abril e lançou correções de emergência para as versões 7.4.5 e 7.4.6 do produto. A CISA emitiu uma ordem para que agências federais protegessem suas instâncias rapidamente, enquanto a Arctic Wolf observou ataques que utilizam essa vulnerabilidade para entregar o infostealer EKZ. O malware é capaz de extrair dados sensíveis, como credenciais e informações de cartões de crédito, e opera de forma furtiva, utilizando scripts maliciosos que são executados após a conexão de um túnel IPsec. Os pesquisadores recomendam que as organizações fiquem atentas a anomalias de autenticação de certificados e atividades administrativas suspeitas.
Fonte: https://www.bleepingcomputer.com/news/security/hackers-exploit-forticlient-ems-flaw-to-push-infostealer-malware/
🚨BR DEFENSE CENTER: SECURITY BRIEFING
28/05/2026 • Risco: CRITICO
MALWARE
Vulnerabilidade no FortiClient permite roubo de credenciais
RESUMO EXECUTIVO
A vulnerabilidade CVE-2026-35616 no FortiClient EMS permite que atacantes não autenticados executem código arbitrário, resultando no roubo de credenciais e dados sensíveis. A exploração ativa requer atenção imediata dos CISOs para evitar compromissos de segurança e garantir a conformidade com a LGPD.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido ao roubo de dados e custos de mitigação.
Operacional
Roubo de credenciais, dados de cartões de crédito e informações pessoais.
Setores vulneráveis
['Setor financeiro', 'Setor de tecnologia', 'Setor de saúde']
📊 INDICADORES CHAVE
2.000 instâncias do EMS expostas na internet.
Indicador
Versões afetadas: 7.4.5 e 7.4.6.
Contexto BR
CVE-2026-35616 é uma falha crítica de controle de acesso.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar logs de autenticação e configurações de perfil de acesso remoto.
2
Aplicar patches de segurança fornecidos pela Fortinet para as versões afetadas.
3
Monitorar atividades administrativas suspeitas e anomalias de autenticação.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a exploração ativa de uma vulnerabilidade crítica que pode comprometer dados sensíveis.
⚖️ COMPLIANCE
Implicações legais e de compliance com a LGPD, especialmente em relação ao tratamento de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
