CVE-2026-35616: Infostealer FortiClient EMS colpisce le reti aziendali

Una nuova campagna di attacchi osservata a maggio 2026 sta prendendo di mira le organizzazioni aziendali attraverso una vulnerabilità critica nel FortiClient Enterprise Management Server (EMS) di Fortinet. La falla, identificata come CVE-2026-35616, consente agli aggressori di bypassare completamente l'autenticazione ed eseguire comandi amministrativi senza mai disporre di credenziali valide. Il risultato è un attacco infostealer FortiClient EMS su scala aziendale che raggiunge gli endpoint gestiti in modo massiccio, mettendo a serio rischio i dati sensibili dei dipendenti e dell'organizzazione.

Non si tratta di un'intrusione mirata e circoscritta. Poiché FortiClient EMS è il centro di gestione degli endpoint per le grandi organizzazioni, un singolo exploit riuscito può propagarsi a cascata su ogni dispositivo gestito dal server.

Cosa consente CVE-2026-35616 agli aggressori all'interno delle reti aziendali

FortiClient EMS è progettato per offrire agli amministratori IT un controllo centralizzato sulle policy di sicurezza degli endpoint, sulle configurazioni VPN e sulla distribuzione del software in una flotta aziendale. Questa portata amministrativa è esattamente ciò che rende CVE-2026-35616 così pericolosa.

Sfruttando la falla di bypass dell'autenticazione, gli aggressori ottengono la capacità di impersonare attori amministrativi legittimi sul server. Da quella posizione, possono spingere software sui dispositivi gestiti, modificare le configurazioni degli endpoint ed eseguire comandi da remoto senza attivare i consueti controlli di autenticazione che normalmente allarmerebbero i team di sicurezza. Nella campagna di maggio 2026, gli aggressori hanno utilizzato questo accesso per distribuire un infostealer camuffato da una legittima patch Fortinet, uno strato di ingegneria sociale che fa apparire il payload malevolo come una manutenzione di routine sia per le difese automatizzate che per gli osservatori umani.

Fortinet ha rilasciato hotfix per la vulnerabilità ad aprile 2026, dopo averne rilevato lo sfruttamento come zero-day in the wild. Le organizzazioni che non hanno ancora applicato tali patch restano esposte.

Quali dati personali e credenziali vengono sottratti dai dispositivi aziendali dagli infostealer

Una volta che l'infostealer è in esecuzione su un endpoint, la sua portata è ampia. Gli infostealer moderni sono progettati per raccogliere tutto ciò che è archiviato localmente o che transita sul dispositivo: credenziali salvate nel browser, cookie di sessione, dati di compilazione automatica, password salvate nei gestori di password, credenziali VPN, token di account email e file che corrispondono a pattern associati a documenti sensibili.

Su un dispositivo aziendale, questo crea un problema di privacy aggravato. I dipendenti usano spesso i computer di lavoro per attività che confondono il confine tra personale e professionale. Un singolo endpoint compromesso può fornire credenziali di accesso sia per sistemi aziendali che per account personali a cui il dipendente ha avuto accesso su quel dispositivo. I cookie di sessione sono particolarmente dannosi perché consentono agli aggressori di autenticarsi come la vittima senza nemmeno aver bisogno di una password, bypassando in molti casi l'autenticazione multi-fattore.

Il meccanismo di distribuzione a livello di gestione peggiora la situazione. Poiché il payload arriva attraverso un canale amministrativo fidato, gli strumenti di rilevamento degli endpoint che si basano su segnali comportamentali a livello utente potrebbero non intercettarlo nella fase iniziale di consegna.

Questo attacco condivide somiglianze strutturali con altre campagne che utilizzano canali software fidati come vettori di distribuzione. Le tattiche di ingegneria sociale che mascherano il malware da strumenti legittimi sono diventate un tema ricorrente in diversi gruppi di minacce nel 2026, sottolineando come gli aggressori sfruttino costantemente il divario tra ciò che sembra legittimo e ciò che lo è realmente.

Perché la compromissione degli strumenti di gestione aziendale mette a rischio la privacy dei dipendenti su larga scala

La maggior parte delle discussioni sulle violazioni di dati si concentra sul database o sul livello applicativo. La campagna FortiClient EMS evidenzia un rischio diverso e sottovalutato: la compromissione a livello di infrastruttura di gestione.

Quando un aggressore controlla lo strumento che gestisce gli endpoint anziché un singolo endpoint stesso, il raggio d'azione si espande drammaticamente. Invece di compromettere il dispositivo di un solo dipendente, ogni dispositivo sotto quell'istanza EMS diventa un potenziale bersaglio. Per le grandi aziende, questo può significare centinaia o migliaia di macchine che ricevono lo stesso payload malevolo in un'unica distribuzione coordinata.

Questo crea anche un problema specifico per la privacy dei dipendenti, distinto da una violazione tradizionale di un database aziendale. Gli infostealer in esecuzione sui singoli dispositivi catturano dati che l'organizzazione stessa potrebbe non vedere o archiviare mai centralmente, inclusi la cronologia di navigazione personale, le credenziali di account personali e file salvati localmente che non hanno mai toccato un server aziendale. I dipendenti hanno poca visibilità su ciò che è stato sottratto dalle proprie macchine e i processi standard di risposta agli incidenti aziendali sono spesso progettati per archivi di dati centralizzati piuttosto che per dati distribuiti sugli endpoint.

Cosa dovrebbero fare subito i dipendenti attenti alla privacy e i team IT

Per i team IT e di sicurezza, la priorità immediata è l'applicazione delle patch. Fortinet ha rilasciato le correzioni per CVE-2026-35616 ad aprile 2026. Qualsiasi organizzazione che esegue FortiClient EMS e non ha applicato tali hotfix dovrebbe considerare la situazione come urgente. Le organizzazioni dovrebbero anche verificare i log di accesso di EMS per azioni amministrative anomale, in particolare eventuali distribuzioni di software o modifiche alla configurazione non avviate da amministratori noti.

Oltre all'applicazione delle patch, questa campagna è un utile spunto per rivedere la segmentazione tra l'infrastruttura di gestione e la rete più ampia. I server EMS non dovrebbero essere direttamente raggiungibili da Internet pubblica senza forti controlli di accesso e le interfacce amministrative dovrebbero richiedere strati di autenticazione aggiuntivi anche per gli utenti posizionati internamente.

Per i singoli dipendenti, il quadro è più sfumato. Si ha una visibilità limitata su ciò che è in esecuzione su un dispositivo aziendale gestito e ancor meno controllo sull'effettiva applicazione delle patch da parte del datore di lavoro. Alcuni accorgimenti pratici possono ridurre l'esposizione personale:

  • Evitare di archiviare le credenziali degli account personali nei browser sui dispositivi di lavoro. Se un infostealer viene eseguito, quelle password salvate sono tra le prime cose che cattura.
  • Utilizzare un dispositivo personale separato per gli account personali, ove possibile, mantenendo quel traffico completamente al di fuori dell'infrastruttura gestita dall'azienda.
  • Prendere in considerazione una VPN personale sul dispositivo di lavoro per il traffico che esula dagli scopi aziendali. Gli attacchi a livello di gestione come questo prendono di mira i canali amministrativi e il software endpoint; una VPN personale in esecuzione sul dispositivo aggiunge un livello di privacy del traffico crittografato per la propria navigazione che le campagne infostealer distribuite tramite EMS non possono intercettare facilmente a livello di rete.
  • Abilitare chiavi di sicurezza hardware o MFA resistente al phishing sugli account personali più sensibili. Anche se i cookie di sessione vengono catturati, gli account protetti da secondi fattori basati su hardware sono significativamente più difficili da violare.

La campagna di attacchi infostealer FortiClient EMS è un chiaro promemoria che le compromissioni dell'infrastruttura aziendale sono anche eventi di privacy personale. L'applicazione delle patch chiude la porta specifica aperta da CVE-2026-35616, ma rivedere sia la postura di sicurezza organizzativa che la propria igiene dei dati sui dispositivi gestiti è la risposta più duratura.