CVE-2026-35616: Το Infostealer του FortiClient EMS πλήττει εταιρικά δίκτυα

Μια νέα εκστρατεία επίθεσης που παρατηρήθηκε τον Μάιο του 2026 στοχεύει επιχειρηματικούς οργανισμούς μέσω μιας κρίσιμης ευπάθειας στον FortiClient Enterprise Management Server (EMS) της Fortinet. Το κενό ασφαλείας, με κωδικό CVE-2026-35616, επιτρέπει στους επιτιθέμενους να παρακάμπτουν πλήρως την ταυτοποίηση και να εκτελούν διαχειριστικές εντολές χωρίς ποτέ να κατέχουν έγκυρα διαπιστευτήρια. Το αποτέλεσμα είναι μια επιχειρησιακή επίθεση Infosteiler μέσω του FortiClient EMS που φτάνει σε κλίμακα διαχειριζόμενα εταιρικά τελικά σημεία, θέτοντας σε σοβαρό κίνδυνο ευαίσθητα δεδομένα εργαζομένων και οργανισμών.

Δεν πρόκειται για μια στενή, στοχευμένη εισβολή. Επειδή ο FortiClient EMS βρίσκεται στο κέντρο της διαχείρισης τελικών σημείων για μεγάλους οργανισμούς, μια και μόνο επιτυχημένη εκμετάλλευση μπορεί να εξαπλωθεί καταρρακτωδώς σε κάθε συσκευή που διαχειρίζεται ο διακομιστής.

Τι επιτρέπει το CVE-2026-35616 στους επιτιθέμενους μέσα σε εταιρικά δίκτυα

Ο FortiClient EMS έχει σχεδιαστεί για να παρέχει στους διαχειριστές IT κεντρικό έλεγχο των πολιτικών ασφαλείας τελικών σημείων, των διαμορφώσεων VPN και των αναπτύξεων λογισμικού σε έναν εταιρικό στόλο. Αυτή ακριβώς η διαχειριστική εμβέλεια είναι που καθιστά το CVE-2026-35616 τόσο επικίνδυνο.

Εκμεταλλευόμενοι το κενό παράκαμψης ταυτοποίησης, οι επιτιθέμενοι αποκτούν τη δυνατότητα να υποδυθούν νόμιμους διαχειριστικούς φορείς στον διακομιστή. Από αυτή τη θέση, μπορούν να προωθήσουν λογισμικό σε διαχειριζόμενες συσκευές, να τροποποιήσουν διαμορφώσεις τελικών σημείων και να εκτελέσουν εντολές απομακρυσμένα χωρίς να ενεργοποιήσουν τους τυπικούς ελέγχους ταυτοποίησης που κανονικά θα ειδοποιούσαν τις ομάδες ασφαλείας. Στην εκστρατεία του Μαΐου 2026, οι επιτιθέμενοι χρησιμοποίησαν αυτή την πρόσβαση για να παραδώσουν ένα infostealer μεταμφιεσμένο ως νόμιμη ενημερωμένη έκδοση κώδικα της Fortinet, ένα επίπεδο κοινωνικής μηχανικής που κάνει το κακόβουλο φορτίο να μοιάζει με συνήθη συντήρηση τόσο για τις αυτοματοποιημένες άμυνες όσο και για τους ανθρώπινους παρατηρητές.

Η Fortinet κυκλοφόρησε επείγουσες επιδιορθώσεις για την ευπάθεια τον Απρίλιο του 2026, αφού εντοπίστηκε ότι χρησιμοποιούνταν ως zero-day σε πραγματικές επιθέσεις. Οι οργανισμοί που δεν έχουν ακόμη εφαρμόσει αυτές τις επιδιορθώσεις παραμένουν εκτεθειμένοι.

Ποια προσωπικά δεδομένα και διαπιστευτήρια συλλέγουν τα Infostealers από εταιρικές συσκευές

Μόλις το infostealer εκτελεστεί σε ένα τελικό σημείο, το πεδίο δράσης του είναι ευρύ. Τα σύγχρονα infostealers είναι σχεδιασμένα για να απορροφούν οτιδήποτε είναι αποθηκευμένο τοπικά ή διέρχεται από τη συσκευή: αποθηκευμένα διαπιστευτήρια περιηγητή, cookies συνόδου, δεδομένα αυτόματης συμπλήρωσης, αποθηκευμένους κωδικούς πρόσβασης από διαχειριστές κωδικών, διαπιστευτήρια VPN, διακριτικά λογαριασμών email και αρχεία που ταιριάζουν με μοτίβα ευαίσθητων εγγράφων.

Σε μια εταιρική συσκευή, αυτό δημιουργεί ένα σύνθετο πρόβλημα ιδιωτικότητας. Οι εργαζόμενοι χρησιμοποιούν συχνά τα επαγγελματικά μηχανήματα για εργασίες που θολώνουν το όριο μεταξύ προσωπικής και επαγγελματικής ζωής. Ένα και μόνο παραβιασμένο τελικό σημείο μπορεί να αποφέρει διαπιστευτήρια σύνδεσης τόσο για εταιρικά συστήματα όσο και για προσωπικούς λογαριασμούς στους οποίους ο εργαζόμενος είχε πρόσβαση από αυτή τη συσκευή. Τα cookies συνόδου είναι ιδιαίτερα επιζήμια επειδή επιτρέπουν στους επιτιθέμενους να ταυτοποιηθούν ως το θύμα χωρίς καν να χρειάζονται κωδικό πρόσβασης, παρακάμπτοντας έτσι σε πολλές περιπτώσεις τον έλεγχο ταυτότητας πολλαπλών παραγόντων.

Ο μηχανισμός παράδοσης μέσω του επιπέδου διαχείρισης επιδεινώνει την κατάσταση. Επειδή το κακόβουλο φορτίο φτάνει μέσω ενός αξιόπιστου διαχειριστικού καναλιού, τα εργαλεία ανίχνευσης τελικών σημείων που βασίζονται σε σήματα συμπεριφοράς από το επίπεδο του χρήστη ενδέχεται να μην το εντοπίσουν κατά το αρχικό στάδιο παράδοσης.

Αυτή η επίθεση παρουσιάζει δομικές ομοιότητες με άλλες εκστρατείες που χρησιμοποιούν αξιόπιστα κανάλια λογισμικού ως οχήματα παράδοσης. Οι τακτικές κοινωνικής μηχανικής που μεταμφιέζουν κακόβουλο λογισμικό ως νόμιμα εργαλεία έχουν γίνει ένα επαναλαμβανόμενο θέμα σε πολλαπλές ομάδες απειλών το 2026, υπογραμμίζοντας πώς οι επιτιθέμενοι εκμεταλλεύονται σταθερά το χάσμα ανάμεσα στο τι μοιάζει νόμιμο και σε αυτό που πραγματικά είναι.

Γιατί η παραβίαση εργαλείων διαχείρισης επιχειρήσεων θέτει σε κίνδυνο την ιδιωτικότητα των εργαζομένων σε κλίμακα

Οι περισσότερες συζητήσεις για παραβιάσεις δεδομένων επικεντρώνονται στη βάση δεδομένων ή στο επίπεδο της εφαρμογής. Η εκστρατεία του FortiClient EMS αναδεικνύει έναν διαφορετικό και υποτιμημένο κίνδυνο: την παραβίαση στο επίπεδο της υποδομής διαχείρισης.

Όταν ένας επιτιθέμενος ελέγχει το εργαλείο που διαχειρίζεται τελικά σημεία αντί για ένα μόνο τελικό σημείο, η ακτίνα έκρηξης διευρύνεται δραματικά. Αντί να παραβιαστεί η συσκευή ενός μόνο εργαζομένου, κάθε συσκευή υπό αυτό το στιγμιότυπο EMS γίνεται δυνητικός στόχος. Για μεγάλες επιχειρήσεις, αυτό θα μπορούσε να σημαίνει εκατοντάδες ή χιλιάδες μηχανήματα που λαμβάνουν το ίδιο κακόβουλο φορτίο σε μία και μόνο συντονισμένη προώθηση.

Αυτό δημιουργεί επίσης ένα ειδικό πρόβλημα για την ιδιωτικότητα των εργαζομένων, διακριτό από μια παραδοσιακή παραβίαση μιας εταιρικής βάσης δεδομένων. Τα infostealers που τρέχουν σε μεμονωμένες συσκευές συλλέγουν δεδομένα που ο ίδιος ο οργανισμός μπορεί να μην δει ή να μην αποθηκεύσει ποτέ κεντρικά, συμπεριλαμβανομένου του προσωπικού ιστορικού περιήγησης, των διαπιστευτηρίων προσωπικών λογαριασμών και των τοπικά αποθηκευμένων αρχείων που δεν άγγιξαν ποτέ έναν εταιρικό διακομιστή. Οι εργαζόμενοι έχουν ελάχιστη ορατότητα για το τι έχει συλλεχθεί από τα δικά τους μηχανήματα και οι τυπικές διαδικασίες αντιμετώπισης συμβάντων εταιρειών είναι συχνά σχεδιασμένες γύρω από κεντρικές αποθήκες δεδομένων παρά για κατανεμημένα δεδομένα τελικών σημείων.

Τι πρέπει να κάνουν αμέσως οι εργαζόμενοι και οι ομάδες IT που νοιάζονται για την ιδιωτικότητα

Για τις ομάδες IT και ασφαλείας, η άμεση προτεραιότητα είναι η εγκατάσταση των επιδιορθώσεων. Η Fortinet κυκλοφόρησε διορθώσεις για το CVE-2026-35616 τον Απρίλιο του 2026. Κάθε οργανισμός που τρέχει FortiClient EMS και δεν έχει εφαρμόσει αυτές τις επείγουσες επιδιορθώσεις θα πρέπει να το αντιμετωπίσει ως επείγον ζήτημα. Οι οργανισμοί θα πρέπει επίσης να ελέγξουν τα αρχεία πρόσβασης του EMS για ανώμαλες διαχειριστικές ενέργειες, ιδιαίτερα για τυχόν αναπτύξεις λογισμικού ή αλλαγές ρυθμίσεων που δεν ξεκίνησαν από γνωστούς διαχειριστές.

Πέρα από την εγκατάσταση επιδιορθώσεων, αυτή η εκστρατεία είναι μια χρήσιμη αφορμή για να επανεξετάσετε την τμηματοποίηση μεταξύ της υποδομής διαχείρισής σας και του ευρύτερου δικτύου. Οι διακομιστές EMS δεν θα πρέπει να είναι άμεσα προσβάσιμοι από το δημόσιο διαδίκτυο χωρίς ισχυρούς ελέγχους πρόσβασης και οι διαχειριστικές διεπαφές θα πρέπει να απαιτούν πρόσθετα επίπεδα ταυτοποίησης ακόμη και για εσωτερικά τοποθετημένους χρήστες.

Για τους μεμονωμένους εργαζόμενους, η εικόνα είναι πιο σύνθετη. Έχετε περιορισμένη ορατότητα για το τι εκτελείται σε μια διαχειριζόμενη εταιρική συσκευή και ακόμη λιγότερο έλεγχο για το αν ο εργοδότης σας έχει εφαρμόσει τις σχετικές επιδιορθώσεις. Μερικά πρακτικά βήματα μπορούν να μειώσουν την προσωπική σας έκθεση:

  • Αποφύγετε την αποθήκευση διαπιστευτηρίων προσωπικών λογαριασμών στους περιηγητές των επαγγελματικών συσκευών. Εάν εκτελεστεί ένα infostealer, αυτοί οι αποθηκευμένοι κωδικοί πρόσβασης είναι από τα πρώτα που θα συλλέξει.
  • Χρησιμοποιήστε μια ξεχωριστή προσωπική συσκευή για προσωπικούς λογαριασμούς όπου είναι δυνατόν, διατηρώντας αυτή την κυκλοφορία εντελώς εκτός της εταιρικά διαχειριζόμενης υποδομής.
  • Σκεφτείτε ένα προσωπικό VPN στην επαγγελματική σας συσκευή για κυκλοφορία που δεν εμπίπτει σε εταιρικούς επαγγελματικούς σκοπούς. Επιθέσεις σε επίπεδο διαχείρισης όπως αυτή στοχεύουν διαχειριστικά κανάλια και λογισμικό τελικών σημείων· ένα προσωπικό VPN που εκτελείται στη συσκευή προσθέτει ένα επίπεδο κρυπτογραφημένης ιδιωτικότητας κυκλοφορίας για τη δική σας περιήγηση, το οποίο οι εκστρατείες infostealer που παραδίδονται μέσω EMS δεν μπορούν εύκολα να υποκλέψουν σε επίπεδο δικτύου.
  • Ενεργοποιήστε κλειδιά ασφαλείας υλικού ή MFA ανθεκτικό σε phishing στους πιο ευαίσθητους προσωπικούς σας λογαριασμούς. Ακόμα κι αν συλλεχθούν cookies συνόδου, οι λογαριασμοί που προστατεύονται από δεύτερους παράγοντες βασισμένους σε υλικό είναι σημαντικά πιο δύσκολο να προσπελαστούν.

Η εκστρατεία επιχειρησιακής επίθεσης Infostealer του FortiClient EMS είναι μια ξεκάθαρη υπενθύμιση ότι οι παραβιάσεις εταιρικών υποδομών είναι επίσης γεγονότα προσωπικής ιδιωτικότητας. Η εγκατάσταση επιδιορθώσεων κλείνει τη συγκεκριμένη πόρτα που ανοίγει το CVE-2026-35616, αλλά η επανεξέταση τόσο της οργανωσιακής σας στάσης ασφαλείας όσο και της δικής σας υγιεινής δεδομένων σε διαχειριζόμενες συσκευές είναι η πιο ανθεκτική απάντηση.