سقوط دژ امنیتی فورتینت؛ هکرها با بدافزار نوظهور EKZ به رایانه‌های سازمانی نفوذ کردند!

 ۱. واکاوی ریشه فنی خطا: عبور از سد احراز هویت بدون نیاز به پسورد

این حمله با سوءاستفاده از یک آسیب‌پذیری بحرانی به شناسه CVE-2026-35616  انجام شده است. این نقص امنیتی که ابتدا در آوریل ۲۰۲۶ به عنوان یک روزصفر (Zero-day) لو رفته بود، در دسته خطاهای کنترل دسترسی نامناسب (Improper Access Control) قرار می‌گیرد.

• حیله مکارانه در درخواست‌های وب: مهاجمان درخواست‌های دستکاری‌شده ویژه‌ای (HTTP Requests) را به بخش‌های حساس مدیریتی سیستم فورتینت ارسال می‌کنند.
• جعل هویت مدیر سیستم: سیستم فورتینت به دلیل وجود این باگ برنامه‌نویسی، بدون اینکه از هکرها نام کاربری و رمز عبور (Credentials) بخواهد، این درخواست‌ها را به عنوان «دستورات رسمی و قانونی مدیر شبکه» قبول و پردازش می‌کند! از این لحظه به بعد، هکر دسترسی کامل مدیریتی به کل شبکه سازمان را به دست می‌آورد.
  
  

۲. مکانیسم اجرا: تزریق بدافزار در پوشش آپدیت رسمی

هکرها پس از ورود به سیستم مرکزی فورتینت، برای اینکه نقشه خود را بدون سر و صدا جلو ببرند، چند گام استراتژیک برداشتند:

1. خفه کردن هشدارهای بروزرسانی: آن‌ها ابتدا تنظیمات سیستم را طوری تغییر دادند که پیام‌های یادآوری ارتقای سیستم‌عامل (Firmware Upgrade Reminders) موقتاً غیرفعال و به تعویق بیفتد تا ادمین اصلی سازمان متوجه تغییرات نشود.
2. ساخت اسکریپت مخرب در پروفایلVPN: هکرها سیاست‌های امنیتی و پروفایل‌های اتصال از راه دور (VPN) را ویرایش کرده و یک اسکریپت مخرب را درون خط لوله اجرای خودکار آن قرار دادند.
3. تزریق فایل کامپایل‌شدهEKZ: سیستم مرکزی فورتینت فریب خورده و فایلی به نام FortiEndpoint_Patch.exe  را به تمام رایانه‌های شبکه ارسال و اجرا کرد. این فایل در واقع همان بدافزار EKZ Infostealer  است که با کامپایلر MinGW ویندوز ساخته شده و یک سارق حرفه‌ای اطلاعات است.
   
   

این بدافزار به محض اجرا روی رایانه کارمندان، تمام کوکی‌های نشست (Session Cookies)، نام‌های کاربری، پسوردهای ذخیره شده و اطلاعات فرم‌های خودکار (Autofill) را در تمام مرورگرهای مبتنی بر موتورهای کرومیوم و گکو (شامل گوگل کروم، مایکروسافت اج، اپرا، بریو، ویوالدی، فایرفاکس، تاندربیرد و حتی مرورگر امن تور) سرقت کرده و به سرور هکر می‌فرستد.

تحلیل اختصاصی امنیت سایبری ۲۴ نیوز:

این حادثه سایبری اثبات می‌کند که در سال ۲۰۲۶، یکی از خطرناک‌ترین استراتژی‌های گروه‌های هکری پیشرفته، پناه گرفتن در سایه ابزارهای مورد اعتماد سازمان (Trust Exploitation) است. وقتی بدافزاری از طریق سرور رسمی مدیریت آنتی‌ویروس یا VPN سازمان مانند  FortiClient EMSبه سمت رایانه‌ها روانه می‌شود، عملاً آنتی‌ویروس‌های نصب‌شده روی رایانه‌های کارمندان هیچ واکنشی نشان نمی‌دهند؛ چرا که گمان می‌کنند این فایل یک آپدیت مجاز از سوی سرور مادر است.

بُعد خطرناک‌تر پسا-نفوذ این بدافزار، سرقت کوکی‌های نشست (Session Cookies) است. هکرها با داشتن این کوکی‌ها می‌توانند بدون نیاز به دانستن رمز عبور یا حتی بدون نیاز به عبور از سد احراز هویت دو مرحله‌ای (MFA)، مستقیماً به حساب‌های ابری سازمان، ایمیل‌های مدیریتی و اتوماسیون‌های بانکی دسترسی پیدا کنند. این نوع حملات، زنجیره اعتماد داخلی سازمان‌ها را کاملاً فلج می‌کند و نشان می‌دهد که ادمین‌های شبکه باید حتی به پیام‌ها و آپدیت‌های صادرشده از سرورهای داخلی خود نیز با دیدگاه «دسترسی صفر» یا همان Zero Trust  نگاه کنند

دستورالعمل‌های پدافندی ۲۴ نیوز برای مهار و پاکسازی سیستم‌ها:

اگر سازمان شما از زیرساخت FortiClient EMS استفاده می‌کند، اجرای فوری پروتکل‌های پدافندی زیر الزامی است:

1. بررسی فوری لاگ‌های سرور مدیریتی: تیم‌های SOC و ادمین‌های شبکه باید لاگ‌های سیستم فورتینت را به دنبال هدرهای مشکوک حاوی خطاهای گواهی دیجیتال (Certificate Errors)، ساخت اکانت‌های کاربری جدید و ناآشنا، و تغییرات در پیکربندی خط‌مشی‌ها (Endpoint Policies) اسکن کنند.
2. بروزرسانی و اعمال وصله فوری: فورتینت پچ رسمی برای رفع آسیب‌پذیری CVE-2026-35616 را منتشر کرده است؛ سازمان‌ها باید فورا سیستم EMS خود را به نسخه ایمن ارتقا دهند.
3. پروتکل ابطال نشست‌ها(Session Revocation):  در صورت ظن به آلودگی، تنها تغییر رمز عبور کافی نیست؛ ادمین‌ها باید تمام جلسات فعال (Active Sessions) کارمندان را در تمام سرویس‌های ابری و داخلی به صورت دستی ابطال و لغو کنند تا کوکی‌های سرقت‌شده توسط هکرها باطل شوند.
4. تعویض کارت‌های بانکی سازمانی: اگر اطلاعات کارت‌های اعتباری یا حساب‌های بانکی در بخش Autofill  مرورگرهای سیستم‌های آلوده ذخیره شده بوده است، این کارت‌ها باید فوراً مسدود و دوباره صادر شوند.
   
   

تحلیل و تنظیم فنی: تحریریه تخصصی و امنیت زیرساخت ۲۴ نیوز (بهراد یوسفی)