Se ha identificado una campaña de explotación activa y de alta agresividad dirigida contra el servidor de administración de endpoints FortiClient Endpoint Management Server (EMS). Actores de amenazas no autenticados están explotando de forma remota una vulnerabilidad crítica en la plataforma para eludir los mecanismos de autenticación de la API, logrando weaponizar la infraestructura de administración confiable para desplegar de manera silenciosa un nuevo vector de robo de credenciales denominado malware EKZ a lo largo de las estaciones de trabajo corporativas controladas por el sistema.
Veredicto Analítico
- Estado: Confirmado (Campaña de explotación activa detectada en la naturaleza).
- Confianza: Alta (Basado en reportes de incidentes forenses y telemetría de vectores de compromiso en infraestructuras de seguridad de red).
- Riesgo para SOC TDIR: Crítico. Al comprometer el servidor central de administración (EMS), los atacantes subvierten una herramienta legítima con altos privilegios para automatizar la distribución de malware, convirtiendo la infraestructura defensiva en el principal catalizador del ataque.
- Urgencia operativa: Inmediata. El fallo permite la toma de control administrativo total sin poseer credenciales válidas y la ejecución de comandos arbitrarios en cascada sobre todos los endpoints administrados.
- Base del veredicto: La confirmación técnica de que los atacantes están modificando políticas globales y perfiles de acceso remoto dentro del EMS para inyectar scripts maliciosos de manera persistente.
Hallazgos Clave
- Componente Afectado: FortiClient Endpoint Management Server (EMS).
- Malware Desplegado: “EKZ”, un componente de robo de credenciales (credential stealer) previamente no documentado por la comunidad de seguridad.
- Mecanismo de Intrusión: Omisión completa de la autenticación de la API de administración (API authentication bypass) que procesa solicitudes privilegiadas de fuentes externas remotas y no autenticadas.
- Efecto de Cascada: Modificación forzada de los perfiles de acceso remoto (Remote Access Profile) y de las políticas de endpoints (endpoint policy) dentro de la consola del EMS para inyectar y empujar scripts dañinos hacia todos los dispositivos de la organización.
Análisis Técnico
- Vector de Ataque y Acceso Inicial: El adversario envía peticiones web malformadas dirigidas específicamente a la interfaz de la API del servidor FortiClient EMS expuesto a la red. El sistema procesa la solicitud privilegiada de manera incorrecta, evadiendo los guardias de identidad y otorgando acceso administrativo directo al plano de control.
- TTPs (MITRE ATT&CK):
- Acceso Inicial: Explotación de aplicación expuesta de cara al público (Exploit Public-Facing Application).
- Movimiento Lateral / Distribución: Abuso de herramientas de despliegue de software legítimas (Software Deployment Tools) controladas desde el servidor central.
- Evasión de Defensas: Uso de infraestructura administrativa de confianza para evadir el software de seguridad local del endpoint, dado que los scripts se ejecutan bajo el contexto del agente legítimo de FortiClient.
- Contexto de la Amenaza: El armamento de consolas de gestión centralizada (como MDMs o servidores EMS) representa una de las tácticas más devastadoras para los equipos de respuesta a incidentes, ya que anula la segmentación local de los endpoints y permite el compromiso simultáneo de toda la flota corporativa desde un solo nodo.
Recomendaciones Operativas
Para Administradores de Sistemas / DevOps (Acción Inmediata)
- Aislamiento de la Interfaz EMS: Restringir inmediatamente el acceso a la API y a la consola de administración del servidor FortiClient EMS. Estas interfaces no deben estar expuestas a la Internet pública y deben operar estrictamente detrás de segmentos de red protegidos por VPN o soluciones de acceso de Confianza Cero (ZTNA).
- Auditoría de Perfiles y Políticas: Revisar minuciosamente los cambios recientes en las configuraciones del EMS. Validar de forma exhaustiva la integridad de los Remote Access Profiles y las directivas de políticas de endpoint vigentes, buscando scripts de inicio, tareas programadas o comandos de shell inusuales que hayan sido inyectados de manera encubierta.
Para el SOC (Monitoreo y Detección)
- Monitoreo de Procesos en Endpoints: Instrumentar alertas inmediatas en los sistemas EDR corporativos ante la ejecución sospechosa de intérpretes de comandos (como powershell.exe o cmd.exe) que tengan como proceso padre al agente local legítimo de FortiClient.
- Análisis de Bitácoras del EMS: Auditar los registros de acceso HTTP/API del servidor EMS en busca de llamadas a funciones administrativas críticas originadas desde direcciones IP externas no reconocidas o que carezcan de tokens de sesión válidos en los flujos de telemetría previos.
Para CTI (Inteligencia de Amenazas)
- Extracción de Firmas del Malware EKZ: Recolectar y alimentar las plataformas de inteligencia con los indicadores de compromiso (IoCs) del cargador de scripts y las firmas estáticas del binario recolector de credenciales EKZ para bloquear su ejecución en el resto de la red.
- Seguimiento de Canales C2: Rastrear los dominios o direcciones IP de destino hacia donde el malware EKZ intenta exfiltrar los almacenes de contraseñas y datos confidenciales robados de la memoria de las estaciones de trabajo comprometidas.
