CVE-2026-35616: Infostealer FortiClient EMS zasahuje podnikové sítě

Nová útočná kampaň pozorovaná v květnu 2026 cílí na podnikové organizace prostřednictvím kritické zranitelnosti v produktu FortiClient Enterprise Management Server (EMS) společnosti Fortinet. Chyba označená jako CVE-2026-35616 umožňuje útočníkům zcela obejít autentizaci a provádět administrativní příkazy, aniž by kdy disponovali platnými přihlašovacími údaji. Výsledkem je podnikový útok typu infostealer prostřednictvím FortiClient EMS, který v masovém měřítku zasahuje spravované firemní koncové body a vystavuje citlivá data zaměstnanců i organizace vážnému riziku.

Nejde o úzce cílený průnik. Protože FortiClient EMS stojí v centru správy koncových bodů velkých organizací, jediný úspěšný exploit se může rozšířit na všechna zařízení, která server spravuje.

Co CVE-2026-35616 umožňuje útočníkům uvnitř podnikových sítí

FortiClient EMS je navržen tak, aby IT administrátorům poskytoval centralizovanou kontrolu nad bezpečnostními politikami koncových bodů, konfigurací VPN a nasazováním softwaru v rámci celé firemní flotily. Právě tento administrativní dosah činí CVE-2026-35616 tak nebezpečnou.

Zneužitím chyby obcházející autentizaci získávají útočníci možnost vydávat se na serveru za legitimní administrátory. Z této pozice mohou do spravovaných zařízení distribuovat software, upravovat konfigurace koncových bodů a vzdáleně spouštět příkazy, aniž by spustili standardní autentizační kontroly, které by obvykle zalarmovaly bezpečnostní týmy. V kampani z května 2026 útočníci toto oprávnění využili k doručení infostealeru maskovaného jako legitimní oprava Fortinetu – sociotechnická vrstva, díky níž škodlivá zátěž vypadá pro automatizovanou obranu i lidské pozorovatele jako běžná údržba.

Společnost Fortinet vydala opravné balíčky (hotfixy) řešící tuto zranitelnost v dubnu 2026 poté, co bylo zjištěno její zneužívání jako zero-day ve volné přírodě. Organizace, které tyto záplaty dosud nenasadily, zůstávají zranitelné.

Jaká osobní a přihlašovací data infostealery z firemních zařízení sbírají

Jakmile infostealer běží na koncovém bodě, jeho záběr je široký. Moderní infostealery jsou navrženy tak, aby vysávaly vše, co je uloženo lokálně nebo zařízením prochází: uložené přihlašovací údaje prohlížečů, relační cookies, data automatického vyplňování, uložená hesla ze správců hesel, přihlašovací údaje k VPN, tokeny e-mailových účtů a soubory odpovídající vzorům spojeným s citlivými dokumenty.

Na firemním zařízení to vytváří znásobený problém s ochranou soukromí. Zaměstnanci často používají pracovní počítače k úkonům, které stírají hranici mezi osobním a profesním životem. Jediný kompromitovaný koncový bod může vydat přihlašovací údaje jak k firemním systémům, tak k osobním účtům, ke kterým zaměstnanec na daném zařízení náhodou přistupoval. Relační cookies jsou obzvláště škodlivé, protože útočníkům umožňují autentizovat se jako oběť, aniž by vůbec potřebovali heslo, a v mnoha případech tak obejít vícefaktorové ověřování.

Mechanismus doručení na úrovni správy situaci ještě zhoršuje. Protože škodlivá zátěž přichází důvěryhodným administrativním kanálem, nástroje pro detekci na koncových bodech, které spoléhají na behaviorální signály z uživatelské vrstvy, ji v počáteční fázi doručení nemusí zachytit.

Tento útok vykazuje strukturální podobnost s jinými kampaněmi, které jako doručovací prostředek využívají důvěryhodné softwarové kanály. Sociotechnické taktiky, které malware maskují jako legitimní nástroje se v roce 2026 staly opakujícím se motivem napříč různými hrozivými uskupeními a zdůrazňují, jak útočníci soustavně zneužívají propast mezi tím, co vypadá legitimně, a tím, co jím skutečně je.

Proč kompromitace nástrojů pro správu podniku ohrožují soukromí zaměstnanců v masovém měřítku

Většina diskusí o únicích dat se soustředí na databázovou nebo aplikační vrstvu. Kampaň zneužívající FortiClient EMS upozorňuje na odlišné a nedoceněné riziko: kompromitaci na úrovni infrastruktury pro správu.

Když útočník ovládne nástroj, který spravuje koncové body, a nikoli pouze jediný koncový bod, poloměr dopadu se dramaticky rozšiřuje. Místo kompromitace zařízení jednoho zaměstnance se potenciálním cílem stává každé zařízení spadající pod danou instanci EMS. Pro velké podniky to může znamenat stovky či tisíce strojů, které v rámci jediného koordinovaného nasazení obdrží tutéž škodlivou zátěž.

To zároveň vytváří specifický problém pro soukromí zaměstnanců, který se liší od tradičního úniku z firemní databáze. Infostealery běžící na jednotlivých zařízeních zachycují data, která sama organizace možná nikdy nevidí nebo neukládá centrálně – včetně historie prohlížení, přihlašovacích údajů k osobním účtům a lokálně uložených souborů, jež se nikdy nedotkly firemního serveru. Zaměstnanci mají jen malou představu o tom, co bylo z jejich vlastních počítačů vysáto, a standardní firemní procesy reakce na incidenty jsou často navrženy spíše pro centralizovaná úložiště dat než pro distribuovaná data na koncových bodech.

Co by měli zaměstnanci dbající na soukromí a IT týmy udělat právě teď

Pro IT a bezpečnostní týmy je okamžitou prioritou záplatování. Společnost Fortinet vydala opravy pro CVE-2026-35616 v dubnu 2026. Každá organizace provozující FortiClient EMS, která tyto hotfixy nenasadila, by to měla považovat za naléhavé. Organizace by také měly prověřit přístupové protokoly EMS a hledat anomální administrativní akce, zejména nasazení softwaru nebo změny konfigurace, které nebyly iniciovány známými administrátory.

Kromě záplatování je tato kampaň vhodnou připomínkou, aby organizace přezkoumaly segmentaci mezi svou správcovskou infrastrukturou a zbytkem sítě. Servery EMS by neměly být přímo dostupné z veřejného internetu bez silných řídicích přístupových opatření a administrativní rozhraní by měla vyžadovat další vrstvy ověřování i pro interně umístěné uživatele.

Pro jednotlivé zaměstnance je situace složitější. Máte omezený přehled o tom, co na spravovaném firemním zařízení běží, a ještě menší kontrolu nad tím, zda váš zaměstnavatel nasadil příslušné záplaty. Několik praktických kroků může snížit vaše osobní riziko:

  • Neukládejte přihlašovací údaje k osobním účtům do prohlížečů na pracovních zařízeních. Pokud se spustí infostealer, patří tato uložená hesla mezi první věci, které zachytí.
  • Používejte samostatné osobní zařízení pro osobní účty, kde je to možné, a veškerý provoz udržujte zcela mimo firemní spravovanou infrastrukturu.
  • Zvažte použití osobní VPN na pracovním zařízení pro provoz, který nespadá do firemních obchodních účelů. Útoky na úrovni správy, jako je tento, cílí na administrativní kanály a software koncových bodů; osobní VPN běžící na zařízení přidává vrstvu šifrovaného soukromí provozu pro vaše vlastní prohlížení, kterou kampaně infostealerů doručované prostřednictvím EMS nemohou na síťové úrovni snadno zachytit.
  • Aktivujte hardwarové bezpečnostní klíče nebo phishingově odolné vícefaktorové ověřování (MFA) u svých nejcitlivějších osobních účtů. I pokud dojde k zachycení relačních cookies, účty chráněné hardwarovými druhými faktory je výrazně obtížnější zneužít.

Kampaň podnikového útoku infostealerem prostřednictvím FortiClient EMS je jasnou připomínkou, že kompromitace firemní infrastruktury jsou zároveň událostmi ohrožujícími osobní soukromí. Záplatování zavírá konkrétní dveře, které CVE-2026-35616 otevírá, avšak trvalejší odpovědí je důkladné přezkoumání bezpečnostní pozice vaší organizace i vlastní hygieny dat na spravovaných zařízeních.