CVE-2026-35616: FortiClient EMS adatlopó támadja a vállalati hálózatokat

Egy 2026 májusában megfigyelt új támadássorozat vállalati szervezeteket céloz a Fortinet FortiClient Enterprise Management Server (EMS) kritikus sérülékenységén keresztül. A CVE-2026-35616 néven követett hiba lehetővé teszi a támadók számára, hogy teljesen megkerüljék a hitelesítést, és érvényes hitelesítő adatok nélkül adminisztratív parancsokat hajtsanak végre. Az eredmény egy olyan FortiClient EMS adatlopó vállalati támadás, amely a felügyelt vállalati végpontok széles körét éri el, komoly kockázatnak téve ki az érzékeny munkavállalói és szervezeti adatokat.

Ez nem egy szűk körű, célzott behatolás. Mivel a FortiClient EMS a nagy szervezetek végpontkezelésének középpontjában áll, egyetlen sikeres kihasználás a szerver által felügyelt összes eszközre továbbterjedhet.

Mit tesz lehetővé a CVE-2026-35616 a támadóknak a vállalati hálózatokon belül

A FortiClient EMS-t arra tervezték, hogy az informatikai rendszergazdák központi irányítást kapjanak a végpontok biztonsági házirendjei, VPN-konfigurációi és szoftvertelepítései felett a vállalati eszközparkban. Ez a rendszergazdai hatókör az, ami a CVE-2026-35616-ot olyan veszélyessé teszi.

A hitelesítés megkerülését lehetővé tevő sérülékenység kihasználásával a támadók képesek legitim rendszergazdai szereplőknek kiadni magukat a szerveren. Ebből a pozícióból szoftvereket küldhetnek a felügyelt eszközökre, módosíthatják a végpontok konfigurációját, és távolról parancsokat hajthatnak végre anélkül, hogy kiváltanák azokat a szokásos hitelesítési ellenőrzéseket, amelyek normál esetben riasztanák a biztonsági csapatokat. A 2026 májusi kampányban a támadók ezt a hozzáférést arra használták, hogy egy legitim Fortinet javításnak álcázott adatlopót juttassanak el – ez egy olyan social engineering réteg, amely a rosszindulatú hasznos terhet rutinszerű karbantartásnak tünteti fel mind az automatizált védelmi rendszerek, mind az emberi megfigyelők számára.

A Fortinet 2026 áprilisában adott ki gyorsjavításokat a sérülékenység kezelésére, miután felfedezték, hogy azt nulladik napi (zero-day) sebezhetőségként kihasználják. Azok a szervezetek, amelyek még nem alkalmazták ezeket a javításokat, továbbra is sebezhetők maradnak.

Milyen személyes és hitelesítő adatokat gyűjtenek be az adatlopók a vállalati eszközökről

Amint az adatlopó fut egy végponton, hatóköre széles. A modern adatlopókat úgy építik, hogy beszippantsanak mindent, ami helyben tárolódik, vagy áthalad az eszközön: elmentett böngésző hitelesítő adatokat, munkamenet-sütiket, automatikus kitöltési adatokat, jelszókezelőkből mentett jelszavakat, VPN hitelesítő adatokat, e-mail fiók tokeneket, valamint az érzékeny dokumentumokhoz kapcsolódó mintáknak megfelelő fájlokat.

Vállalati eszközön ez összetett adatvédelmi problémát okoz. A munkavállalók gyakran használják munkahelyi gépeiket olyan feladatokra, amelyek elmossák a határt a személyes és a szakmai szféra között. Egyetlen kompromittált végpont hozzáférést biztosíthat mind a vállalati rendszerekhez, mind azokhoz a személyes fiókokhoz tartozó bejelentkezési adatokhoz, amelyeket a munkavállaló az adott eszközön ért el. A munkamenet-sütik különösen károsak, mivel lehetővé teszik a támadók számára, hogy jelszó nélkül, az áldozatként hitelesítsenek, sok esetben megkerülve a többtényezős hitelesítést.

A felügyeleti rétegbeli kézbesítési mechanizmus tovább súlyosbítja a helyzetet. Mivel a hasznos teher megbízható adminisztratív csatornán keresztül érkezik, a végpontészlelő eszközök, amelyek a felhasználói rétegből származó viselkedési jelekre támaszkodnak, előfordulhat, hogy a kezdeti kézbesítési szakaszban nem észlelik azt.

Ez a támadás szerkezeti hasonlóságokat mutat más olyan kampányokkal, amelyek megbízható szoftvercsatornákat használnak kézbesítő járműként. A rosszindulatú szoftvert legitim eszközöknek álcázó social engineering taktikák visszatérő témává váltak több fenyegetési klaszterben 2026 folyamán, hangsúlyozva, hogy a támadók következetesen kihasználják a látszólag legitim és a ténylegesen az közötti szakadékot.

Miért veszélyezteti a munkavállalói adatvédelmet nagy léptékben a vállalati felügyeleti eszközök kompromittálódása

A legtöbb adatvédelmi incidensről szóló vita az adatbázisra vagy az alkalmazási rétegre összpontosít. A FortiClient EMS kampány egy ettől eltérő és alulértékelt kockázatra világít rá: a felügyeleti infrastruktúra rétegében bekövetkező kompromittálódásra.

Amikor egy támadó a végpontokat felügyelő eszközt irányítja, nem pedig egyetlen végpontot, a hatósugár drámaian kiszélesedik. Ahelyett, hogy egy munkavállaló eszköze lenne kompromittált, az adott EMS-példány alá tartozó minden eszköz potenciális célponttá válik. Nagyvállalatok esetében ez akár több száz vagy több ezer gépet is jelenthet, amelyek egyetlen összehangolt művelet során ugyanazt a rosszindulatú hasznos terhet kapják meg.

Ez sajátos problémát okoz a munkavállalói adatvédelem szempontjából is, amely különbözik a vállalati adatbázis hagyományos megsértésétől. Az egyes eszközökön futó adatlopók olyan adatokat gyűjtenek, amelyeket maga a szervezet esetleg soha nem lát, vagy nem tárol központilag, beleértve a személyes böngészési előzményeket, a személyes fiókok hitelesítő adatait és a helyben mentett fájlokat, amelyek soha nem érintettek vállalati szervert. A munkavállalók alig látnak rá arra, hogy milyen adatokat gyűjtöttek be a saját gépeikről, és a szokásos vállalati incidenskezelési folyamatokat gyakran központi adattárakra tervezték, nem pedig elosztott végponti adatokra.

Mit kell tenniük most az adatvédelem-tudatos munkavállalóknak és az informatikai csapatoknak

Az informatikai és biztonsági csapatok számára az azonnali prioritás a javítás. A Fortinet 2026 áprilisában adott ki javításokat a CVE-2026-35616-hoz. Minden olyan szervezetnek, amely FortiClient EMS-t futtat és nem alkalmazta ezeket a gyorsjavításokat, sürgős ügyként kell kezelnie ezt. A szervezeteknek ellenőrizniük kell az EMS hozzáférési naplóit is rendellenes adminisztratív műveletek szempontjából, különös tekintettel azokra a szoftvertelepítésekre vagy konfigurációs módosításokra, amelyeket nem ismert rendszergazdák kezdeményeztek.

A javításon túl ez a kampány hasznos alkalmat ad arra, hogy felülvizsgálják a felügyeleti infrastruktúra és a tágabb hálózat közötti szegmentációt. Az EMS szerverek nem lehetnek közvetlenül elérhetők a nyilvános internetről erős hozzáférés-ellenőrzés nélkül, és az adminisztratív felületeknek további hitelesítési rétegeket kell megkövetelniük még a belső hálózaton elhelyezkedő felhasználók számára is.

Az egyéni munkavállalók számára a kép árnyaltabb. Korlátozott a rálátásod arra, hogy mi fut egy felügyelt vállalati eszközön, és még kevesebb befolyásod van arra, hogy a munkáltatód alkalmazta-e a releváns javításokat. Néhány gyakorlati lépéssel csökkentheted a személyes kitettségedet:

  • Kerüld a személyes fiókok hitelesítő adatainak böngészőben való mentését munkahelyi eszközökön. Ha egy adatlopó fut, ezek a mentett jelszavak az elsők között vannak, amelyeket begyűjt.
  • Használj külön személyes eszközt a személyes fiókokhoz, ahol lehetséges, teljesen távol tartva ezt a forgalmat a vállalat által felügyelt infrastruktúrától.
  • Fontold meg egy személyes VPN használatát a munkahelyi eszközödön a vállalati üzleti célokon kívül eső forgalomhoz. Az ilyen felügyeleti rétegbeli támadások adminisztratív csatornákat és végponti szoftvereket céloznak; az eszközön futó személyes VPN a saját böngészésedhez egy olyan titkosított forgalmi adatvédelmi réteget ad hozzá, amelyet az EMS-en keresztül kézbesített adatlopó kampányok hálózati szinten nem könnyen tudnak lehallgatni.
  • Engedélyezz hardveres biztonsági kulcsokat vagy adathalászat-ellenálló MFA-t a legérzékenyebb személyes fiókjaidon. Még ha a munkamenet-sütiket meg is szerzik, a hardveralapú második faktorral védett fiókokhoz lényegesen nehezebb hozzáférni.

A FortiClient EMS adatlopó vállalati támadási kampány egyértelmű emlékeztető arra, hogy a vállalati infrastruktúra kompromittálódása egyben személyes adatvédelmi esemény is. A javítás bezárja azt a konkrét ajtót, amelyet a CVE-2026-35616 kinyit, de mind a szervezeti biztonsági helyzet, mind a saját adathigiénéd felülvizsgálata a felügyelt eszközökön a tartósabb válasz.