CVE-2026-35616: Info-kradljivac na FortiClient EMS-u pogađa mreže poduzeća

Nova kampanja napada primijećena u svibnju 2026. cilja na poslovne organizacije putem kritične ranjivosti u Fortinetovom FortiClient Enterprise Management Serveru (EMS). Propust, označen kao CVE-2026-35616, omogućuje napadačima da u potpunosti zaobiđu autentifikaciju i izvršavaju administrativne naredbe bez ikakvih valjanih vjerodajnica. Rezultat je napad info-kradljivca na FortiClient EMS poduzeća koji doseže upravljane korporativne krajnje točke u velikim razmjerima, izlažući osjetljive podatke zaposlenika i organizacije ozbiljnom riziku.

Ovo nije uski, ciljani upad. Budući da FortiClient EMS stoji u središtu upravljanja krajnjim točkama za velike organizacije, jedno uspješno iskorištavanje može se kaskadno proširiti na svaki uređaj kojim poslužitelj upravlja.

Što CVE-2026-35616 omogućuje napadačima unutar mreža poduzeća

FortiClient EMS dizajniran je kako bi IT administratorima pružio centraliziranu kontrolu nad sigurnosnim politikama krajnjih točaka, VPN konfiguracijama i implementacijama softvera na korporativnoj floti uređaja. Taj administratorski doseg upravo je ono što CVE-2026-35616 čini tako opasnim.

Iskorištavanjem ranjivosti zaobilaženja autentifikacije, napadači stječu mogućnost lažnog predstavljanja legitimnih administrativnih aktera na poslužitelju. S te pozicije mogu slati softver na upravljane uređaje, mijenjati konfiguracije krajnjih točaka i izvršavati naredbe na daljinu bez pokretanja standardnih provjera autentifikacije koje bi inače upozorile sigurnosne timove. U kampanji iz svibnja 2026., napadači su iskoristili ovaj pristup za isporuku info-kradljivca prerušenog u legitimnu Fortinet zakrpu, sloj društvenog inženjeringa koji zlonamjerni teret čini nalik na rutinsko održavanje, kako za automatizirane obrane tako i za ljudske promatrače.

Fortinet je objavio hitne zakrpe koje rješavaju ovu ranjivost u travnju 2026., nakon što je identificirana dok se iskorištavala kao zero-day u stvarnim napadima. Organizacije koje još nisu primijenile te zakrpe ostaju izložene.

Koje osobne i vjerodajničke podatke info-kradljivci prikupljaju s korporativnih uređaja

Kada se info-kradljivac pokrene na krajnjoj točki, njegov opseg je širok. Moderni info-kradljivci napravljeni su da usisavaju sve što je pohranjeno lokalno ili prolazi kroz uređaj: spremljene vjerodajnice preglednika, kolačiće sesije, podatke za automatsko popunjavanje, spremljene lozinke iz upravitelja lozinki, VPN vjerodajnice, tokene za račune e-pošte i datoteke koje odgovaraju obrascima povezanim s osjetljivim dokumentima.

Na korporativnom uređaju to stvara složeni problem privatnosti. Zaposlenici često koriste poslovne uređaje za zadatke koji brišu granicu između osobnog i profesionalnog. Jedna kompromitirana krajnja točka može dati vjerodajnice za prijavu kako za korporativne sustave tako i za osobne račune kojima je zaposlenik slučajno pristupio na tom uređaju. Kolačići sesije posebno su štetni jer omogućuju napadačima autentifikaciju kao žrtva bez potrebe za lozinkom, zaobilazeći višefaktorsku autentifikaciju u mnogim slučajevima.

Mehanizam isporuke na razini upravljanja ovo pogoršava. Budući da zlonamjerni teret stiže kroz pouzdani administrativni kanal, alati za detekciju na krajnjim točkama koji se oslanjaju na bihevioralne signale s korisničke razine možda ga neće uhvatiti u početnoj fazi isporuke.

Ovaj napad dijeli strukturalne sličnosti s drugim kampanjama koje koriste pouzdane softverske kanale kao sredstvo isporuke. Taktike društvenog inženjeringa koje maskiraju zlonamjerni softver kao legitimne alate postale su ponavljajuća tema u više klastera prijetnji tijekom 2026., naglašavajući kako napadači dosljedno iskorištavaju jaz između onoga što izgleda legitimno i onoga što to zapravo jest.

Zašto kompromitacije alata za upravljanje poduzećima ugrožavaju privatnost zaposlenika u velikim razmjerima

Većina rasprava o curenju podataka fokusira se na bazu podataka ili aplikacijski sloj. Kampanja FortiClient EMS ističe drugačiji i nedovoljno cijenjeni rizik: kompromitaciju na razini infrastrukture za upravljanje.

Kada napadač kontrolira alat koji upravlja krajnjim točkama, umjesto pojedinačne krajnje točke, radijus eksplozije dramatično se širi. Umjesto da je kompromitiran uređaj jednog zaposlenika, svaki uređaj pod tom EMS instancom postaje potencijalna meta. Za velika poduzeća to može značiti stotine ili tisuće računala koja primaju isti zlonamjerni teret u jednom koordiniranom slanju.

Ovo također stvara specifičan problem za privatnost zaposlenika koji se razlikuje od tradicionalnog curenja korporativne baze podataka. Info-kradljivci koji se pokreću na pojedinačnim uređajima hvataju podatke koje sama organizacija možda nikada ne vidi ili centralno pohranjuje, uključujući osobnu povijest pregledavanja, vjerodajnice osobnih računa i lokalno spremljene datoteke koje nikada nisu dotakle korporativni poslužitelj. Zaposlenici imaju malu vidljivost u to što je prikupljeno s njihovih vlastitih računala, a standardni korporativni procesi odgovora na incidente često su dizajnirani oko centraliziranih spremišta podataka, a ne distribuiranih podataka na krajnjim točkama.

Što zaposlenici svjesni privatnosti i IT timovi trebaju učiniti odmah

Za IT i sigurnosne timove, trenutni prioritet je zakrpljivanje. Fortinet je objavio popravke za CVE-2026-35616 u travnju 2026. Svaka organizacija koja koristi FortiClient EMS, a nije primijenila te hitne zakrpe, trebala bi ovo tretirati kao hitno. Organizacije bi također trebale revidirati EMS zapise pristupa radi anomalnih administrativnih radnji, posebno bilo kakvih implementacija softvera ili promjena konfiguracije koje nisu pokrenuli poznati administratori.

Osim zakrpljivanja, ova kampanja koristan je poticaj za pregled segmentacije između vaše infrastrukture za upravljanje i šire mreže. EMS poslužitelji ne bi trebali biti izravno dostupni s javnog interneta bez jakih kontrola pristupa, a administrativna sučelja trebala bi zahtijevati dodatne slojeve autentifikacije čak i za interno pozicionirane korisnike.

Za pojedinačne zaposlenike, slika je nijansiranija. Imate ograničenu vidljivost u to što se pokreće na upravljanom korporativnom uređaju, a još manje kontrole nad time je li vaš poslodavac primijenio relevantne zakrpe. Nekoliko praktičnih koraka može smanjiti vašu osobnu izloženost:

  • Izbjegavajte pohranjivanje vjerodajnica osobnih računa u preglednicima na poslovnim uređajima. Ako se info-kradljivac pokrene, te spremljene lozinke su među prvim stvarima koje hvata.
  • Koristite odvojeni osobni uređaj za osobne račune gdje god je to moguće, držeći taj promet potpuno izvan korporativno upravljane infrastrukture.
  • Razmotrite osobni VPN na svom poslovnom uređaju za promet koji izlazi izvan okvira korporativnih poslovnih svrha. Napadi na razini upravljanja poput ovog ciljaju na administrativne kanale i softver krajnjih točaka; osobni VPN koji radi na uređaju dodaje sloj šifrirane privatnosti prometa za vaše vlastito pregledavanje koje kampanje info-kradljivaca isporučene putem EMS-a ne mogu lako presresti na mrežnoj razini.
  • Omogućite hardverske sigurnosne ključeve ili phishing-otporni MFA na svojim najosjetljivijim osobnim računima. Čak i ako su kolačići sesije uhvaćeni, račune zaštićene hardverskim sekundarnim faktorima znatno je teže probiti.

Kampanja napada info-kradljivca na FortiClient EMS poduzeća jasan je podsjetnik da su kompromitacije korporativne infrastrukture također događaji narušavanja osobne privatnosti. Zakrpljivanje zatvara specifična vrata koja CVE-2026-35616 otvara, ali pregled vašeg organizacijskog sigurnosnog položaja i vlastite higijene podataka na upravljanim uređajima trajniji je odgovor.