Des cybercriminels mènent une campagne ciblant les organisations utilisant FortiClient Endpoint Management Server (EMS) en tirant parti d’une faille de sécurité sévère, aujourd’hui colmatée par un correctif. L’attaque vise à installer un programme malveillant spécialisé dans le vol d’identifiants sur les systèmes des victimes, selon les observations d’experts en cybersécurité.
Une infrastructure de gestion détournée
Les chercheurs d’Arctic Wolf ont décrit le mode opératoire : « La campagne a abusé de l’infrastructure légitime de gestion des terminaux pour distribuer des programmes malveillants à travers les postes gérés. » Les assaillants ont en effet déguisé la charge utile du voleur d’identifiants en une mise à jour officielle de Fortinet, profitant du lien de confiance entre le serveur EMS et les clients FortiClient pour diffuser leur logiciel nuisible.
La vulnérabilité exploitée est une faille critique affectant les déploiements de FortiClient EMS. Un correctif a été publié par l’éditeur, mais les systèmes n’ayant pas appliqué la mise à jour restent exposés. Les organisations sont invitées à vérifier que leurs instances EMS sont à jour et à inspecter les logs pour détecter toute activité suspecte.
Un voleur d’identifiants en embuscade
Une fois exécuté, le malware dérobe les mots de passe et autres informations d’authentification enregistrés dans les navigateurs et applications des postes infectés. Ces données peuvent ensuite être revendues sur des places de marché clandestines ou utilisées pour des intrusions ultérieures, notamment via des accès VPN ou des services cloud.
Les experts d’Arctic Wolf soulignent que cette campagne illustre une tendance préoccupante : les adversaires s’appuient désormais sur des outils de gestion informatique légitimes pour contourner les défenses antivirus et les listes de blocage. Le fait que le malware soit distribué via un canal de confiance – le serveur EMS – rend sa détection beaucoup plus difficile pour les solutions de sécurité traditionnelles.
Recommandations aux organisations
Face à cette menace, les spécialistes recommandent plusieurs mesures :
- Appliquer sans délai le correctif fourni par Fortinet pour la faille critique de FortiClient EMS.
- Surveiller les communications sortantes inhabituelles depuis les serveurs EMS.
- Restreindre les droits d’administration sur les terminaux pour limiter la propagation en cas d’infection.
- Mettre en œuvre une authentification multifacteur (MFA) sur tous les accès distants et services sensibles.
- Analyser les journaux d’événements pour détecter des exécutions de processus non autorisées ou des connexions suspectes.
La compromission d’un serveur EMS peut en effet offrir aux attaquants un accès privilégié à l’ensemble du parc informatique géré, multipliant les risques de mouvement latéral et d’exfiltration de données.
Une faille corrigée, mais des systèmes encore vulnérables
Bien que Fortinet ait publié un correctif pour cette vulnérabilité, de nombreux serveurs EMS n’ont probablement pas encore été mis à jour, laissant une fenêtre d’exploitation ouverte. Les acteurs malveillants exploitent souvent ce délai entre la publication du correctif et son application généralisée pour lancer leurs attaques.
Les administrateurs système et les équipes de sécurité sont donc invités à prioriser cette mise à jour et à rechercher les signes de compromission éventuels. La vigilance est d’autant plus nécessaire que les attaquants perfectionnent leurs techniques pour imiter des flux logiciels légitimes.
