CVE-2026-35616: Инфостейлър във FortiClient EMS удря корпоративни мрежи

Нова кампания за атаки, забелязана през май 2026 г., е насочена към корпоративни организации чрез критична уязвимост в сървъра за управление на предприятия FortiClient (EMS) на Fortinet. Уязвимостта, проследявана като CVE-2026-35616, позволява на атакуващите напълно да заобиколят удостоверяването и да изпълняват административни команди, без изобщо да притежават валидни идентификационни данни. Резултатът е корпоративна атака с инфостейлър през FortiClient EMS, която достига до управляваните крайни устройства в мащаб, излагайки чувствителни данни на служители и организацията на сериозен риск.

Това не е тясно насочено проникване. Тъй като FortiClient EMS стои в центъра на управлението на крайните устройства за големи организации, една успешна експлоатация може да се разпространи каскадно върху всяко устройство, управлявано от сървъра.

Какво позволява CVE-2026-35616 на атакуващите вътре в корпоративните мрежи

FortiClient EMS е проектиран да дава на ИТ администраторите централизиран контрол върху политиките за сигурност на крайните точки, VPN конфигурациите и внедряването на софтуер в корпоративния парк от устройства. Този административен обхват е точно това, което прави CVE-2026-35616 толкова опасна.

Чрез експлоатиране на уязвимостта за заобикаляне на удостоверяването атакуващите придобиват способността да се представят за легитимни административни участници на сървъра. От тази позиция те могат да разпространяват софтуер към управляваните устройства, да променят конфигурациите на крайните точки и да изпълняват команди от разстояние, без да задействат стандартните проверки за удостоверяване, които обикновено биха предупредили екипите по сигурност. В кампанията от май 2026 г. атакуващите използваха този достъп, за да доставят инфостейлър, маскиран като легитимна кръпка на Fortinet – слой на социално инженерство, който кара зловредния товар да изглежда като рутинна поддръжка както за автоматизираните защити, така и за човешките наблюдатели.

Fortinet пусна спешни корекции, адресиращи уязвимостта през април 2026 г., след като беше установено, че се експлоатира като нулев ден в реални условия. Организациите, които все още не са приложили тези кръпки, остават изложени.

Какви лични данни и идентификационни данни събират инфостейлърите от корпоративни устройства

Веднъж стартиран на крайна точка, обхватът на инфостейлъра е широк. Съвременните инфостейлъри са създадени да изсмукват всичко, съхранявано локално или преминаващо през устройството: запазени идентификационни данни в браузъра, сесийни бисквитки, данни за автоматично попълване, запазени пароли от мениджъри на пароли, VPN идентификационни данни, токени за имейл акаунти и файлове, които отговарят на шаблони, свързани с чувствителни документи.

На корпоративно устройство това създава усложнен проблем с неприкосновеността на личния живот. Служителите често използват служебните машини за задачи, които размиват границата между личното и професионалното. Една компрометирана крайна точка може да доведе до издаване на идентификационни данни както за корпоративни системи, така и за лични акаунти, до които служителят е имал достъп на това устройство. Сесийните бисквитки са особено вредни, защото позволяват на атакуващите да се удостоверят като жертвата, без изобщо да се нуждаят от парола, като в много случаи заобикалят многофакторното удостоверяване.

Механизмът за доставка през управленския слой влошава нещата. Тъй като зловредният товар пристига чрез доверен административен канал, инструментите за откриване на заплахи на крайните точки, които разчитат на поведенчески сигнали от потребителския слой, може да не го уловят на етапа на първоначалната доставка.

Тази атака има структурни прилики с други кампании, които използват доверени софтуерни канали като средство за доставка. Тактики за социално инженерство, които прикриват зловреден софтуер като легитимни инструменти се превърнаха в повтаряща се тема в множество заплахи през 2026 г., подчертавайки как атакуващите последователно експлоатират разликата между това, което изглежда легитимно, и това, което действително е.

Защо компрометирането на инструменти за управление на предприятия излага личните данни на служителите в мащаб

Повечето дискусии за пробиви на данни се фокусират върху базата данни или приложния слой. Кампанията с FortiClient EMS подчертава различен и подценяван риск: компрометиране на инфраструктурния слой за управление.

Когато атакуващият контролира инструмента, който управлява крайните точки, а не само една крайна точка, радиусът на поражение се разширява драстично. Вместо да бъде компрометирано устройството на един служител, всяко устройство под този EMS инстанс става потенциална цел. За големи предприятия това може да означава стотици или хиляди машини, получаващи един и същ зловреден товар в едно координирано изтласкване.

Това също създава специфичен проблем за личния живот на служителите, който е различен от традиционния пробив на корпоративна база данни. Инфостейлърите, работещи на отделни устройства, улавят данни, които самата организация може никога да не види или съхранява централно – включително лична история на сърфиране, идентификационни данни за лични акаунти и локално запазени файлове, които никога не са докосвали корпоративен сървър. Служителите имат малка видимост върху това какво е било събрано от собствените им машини, а стандартните корпоративни процеси за реакция при инциденти често са проектирани около централизирани хранилища на данни, а не около разпределени данни по крайните точки.

Какво трябва да направят незабавно служителите, загрижени за поверителността, и ИТ екипите

За ИТ и екипите по сигурност непосредственият приоритет е прилагането на кръпки. Fortinet пусна корекции за CVE-2026-35616 през април 2026 г. Всяка организация, работеща с FortiClient EMS, която не е приложила тези спешни поправки, трябва да третира това като спешно. Организациите трябва също да проверят дневниците за достъп на EMS за аномални административни действия, особено за внедрявания на софтуер или промени в конфигурациите, които не са инициирани от известни администратори.

Освен прилагането на кръпки, тази кампания е полезен повод да преразгледате сегментацията между вашата управленска инфраструктура и по-широката мрежа. Сървърите на EMS не трябва да бъдат директно достъпни от публичния интернет без силни контроли за достъп, а административните интерфейси трябва да изискват допълнителни слоеве на удостоверяване дори за вътрешно разположени потребители.

За отделните служители картината е по-нюансирана. Вие имате ограничена видимост върху това какво работи на управлявано корпоративно устройство и още по-малък контрол върху това дали вашият работодател е приложил съответните кръпки. Няколко практически стъпки могат да намалят личното ви излагане на риск:

  • Избягвайте съхраняването на идентификационни данни за лични акаунти в браузърите на служебните устройства. Ако се стартира инфостейлър, тези запазени пароли са сред първите неща, които той улавя.
  • Използвайте отделно лично устройство за личните си акаунти, когато е възможно, като държите този трафик изцяло извън корпоративно управляваната инфраструктура.
  • Обмислете използването на личен VPN на служебното си устройство за трафик, който не попада в корпоративните бизнес цели. Атаките на управленския слой като тази са насочени към административни канали и софтуер на крайните точки; личен VPN, работещ на устройството, добавя слой на криптирана поверителност на трафика за вашето собствено сърфиране, който инфостейлър кампаниите, доставени през EMS, не могат лесно да прихванат на мрежово ниво.
  • Активирайте хардуерни ключове за сигурност или устойчиво на фишинг многофакторно удостоверяване за най-чувствителните си лични акаунти. Дори ако сесийните бисквитки бъдат заловени, акаунтите, защитени с хардуерни втори фактори, са значително по-трудни за достъп.

Кампанията за корпоративна атака с инфостейлър през FortiClient EMS е ясно напомняне, че компрометирането на корпоративната инфраструктура е също и събитие, засягащо личния живот. Прилагането на кръпки затваря конкретната врата, която CVE-2026-35616 отваря, но преразглеждането както на вашата организационна позиция по сигурността, така и на собствената ви хигиена на данните на управляваните устройства е по-трайният отговор.