Eksploitasi Celah Keamanan FortiClient EMS: Peretas Kirim Malware “EKZ Infostealer” Berkedok Update Resmi

Aktor ancaman siber dilaporkan tengah aktif mengeksploitasi celah keamanan kritis berjenis bypass otentikasi (CVE-2026-35616) pada perangkat lunak FortiClient Enterprise Management Server (EMS). Serangan ini dilancarkan untuk menyebarkan malware pencuri data kredensial (infostealer) varian baru yang belum terdokumentasi sebelumnya bernama EKZ.

Guna mengelabui korbannya, peretas menyamarkan file malware tersebut sebagai paket pembaruan (update) resmi untuk perangkat ujung (endpoint) Fortinet. Proses eksekusi malware kemudian dijalankan secara otomatis memanfaatkan alur kerja skrip VPN (VPN scripting workflows) yang dikelola langsung oleh aplikasi FortiClient resmi.

Modus Operandi: Injeksi Skrip Lewat Bypass Akses Kontrol API

Berdasarkan laporan hasil investigasi dari perusahaan keamanan siber Arctic Wolf, rangkaian kronologi serangan yang memanfaatkan kerentanan kritis improper access control ini berjalan sangat cepat dengan tahapan sebagai berikut:

1. Eksploitasi API Tanpa Otentikasi: Penyerang memanfaatkan celah CVE-2026-35616 untuk menyalahgunakan API endpoint pada FortiClient EMS. Hal ini memungkinkan peretas luar mengeksekusi fungsi administratif penting dari jarak jauh tanpa perlu melewati proses login.
2. Modifikasi Kebijakan VPN: Begitu masuk ke sistem manajemen, peretas mengubah konfigurasi EMS serta kebijakan VPN (VPN policies) global untuk menyisipkan instruksi eksekusi skrip batch berbahaya.
3. Pemicu Terowongan IPsec: Hanya berselang beberapa detik setelah perangkat endpoint korban berhasil membangun koneksi terowongan (tunnel) IPsec ke perangkat firewall FortiGate, komponen resmi Fortinet bernama fortitray.exe secara otomatis akan memicu eksekusi skrip batch korup tersebut melalui Command Prompt.
4. Eksekusi Payload PowerShell: Skrip batch tersebut bertugas menjalankan baris perintah PowerShell terenkripsi Base64. Perintah ini mengunduh muatan (payload) utama berkedok patch Fortinet dari server VPS milik penyerang, mengeksekusinya secara senyap (silently), lalu mengirimkan data jarahan keluar via protokol HTTP sebelum akhirnya menghapus jejak digital (local artifacts) di komputer korban.

Karakteristik EKZ Infostealer: Mampu Melewati Proteksi MFA

Malware EKZ Infostealer dirancang dengan kapabilitas penjarahan data digital yang agresif. Fokus utama dari malware ini adalah menyerang folder penyimpanan data pada peramban web (web browsers) populer, baik yang berbasis arsitektur Chromium (seperti Google Chrome, Microsoft Edge, Opera) maupun rumpun Mozilla Firefox.

Data yang Diincar oleh EKZ:

• Data kredensial (nama pengguna dan kata sandi) yang tersimpan di browser.
• Informasi kartu kredit.
• Alamat rumah dan nomor telepon pengguna.
• Data Cookies Sesi Aktivasi: Penjarahan data cookie ini tergolong sangat berbahaya karena dapat disalahgunakan oleh peretas untuk membajak sesi login aktif pengguna (session hijacking). Taktik ini memungkinkan penyerang masuk ke akun sensitif korporasi yang sudah dilindungi oleh fitur Otentikasi Multi-Faktor (MFA) tanpa perlu memicu verifikasi ulang.

Langkah Mitigasi dan Deteksi Dini Bagi Tim Defender

Pihak Fortinet sebenarnya telah mengonfirmasi aktivitas eksploitasi ini sejak awal April dan telah merilis perbaikan darurat (emergency hotfixes) untuk produk FortiClient EMS versi 7.4.5 dan 7.4.6. Badan Keamanan Siber AS (CISA) juga telah memasukkan celah ini ke dalam katalog kerentanan yang aktif dieksploitasi di alam liar (Known Exploited Vulnerabilities).

Mengingat badan pengawas The Shadowserver Foundation sempat mendeteksi ada sekitar 2,000 instansi EMS yang terekspos langsung ke internet publik, tim pertahanan siber perusahaan disarankan memantau beberapa indikator penyerangan (Indicator of Compromise) berikut:

• Analisis Rekam Jejak Log Sertifikat: Arctic Wolf mencatat bahwa indikasi awal upaya eksploitasi EKZ dicirikan oleh munculnya baris eror spesifik pada berkas log: Certificate not found in request header Log eror tersebut biasanya akan langsung diikuti dalam hitungan detik oleh pesan sukses pembaruan palsu: Certificate user: fortinet-ca2 … successfully updated
• Anomali Otentikasi dan Akun Baru: Periksa secara berkala jika ada pembuatan akun administratif baru yang tidak dikenal atau adanya aktivitas login admin yang berasal dari jaringan tidak lumrah (seperti node Tor atau alamat IP VPS eksternal).
• Audit Profil Akses Jarak Jauh: Lakukan inspeksi menyeluruh terhadap setiap perubahan mendadak pada konfigurasi Remote Access Profile atau kebijakan VPN yang melibatkan skrip otomatisasi di luar dokumentasi resmi tim TI internal.

Sumber: Arctic Wolf / CISA / The Shadowserver Foundation