CVE-2026-35616: FortiClient EMS-infostealer treft bedrijfsnetwerken

Een nieuwe aanvalscampagne die in mei 2026 is waargenomen, richt zich op zakelijke organisaties via een kritieke kwetsbaarheid in Fortinets FortiClient Enterprise Management Server (EMS). De kwetsbaarheid, aangeduid als CVE-2026-35616, stelt aanvallers in staat om authenticatie volledig te omzeilen en administratieve opdrachten uit te voeren zonder ooit over geldige inloggegevens te beschikken. Het resultaat is een FortiClient EMS-infostealeraanval op ondernemingen die op grote schaal beheerde zakelijke eindpunten bereikt, waardoor gevoelige werknemers- en organisatiegegevens ernstig in gevaar komen.

Dit is geen kleinschalige, gerichte inbraak. Omdat FortiClient EMS centraal staat in het eindpuntbeheer van grote organisaties, kan een enkele geslaagde exploit zich als een kettingreactie verspreiden over elk apparaat dat de server beheert.

Wat CVE-2026-35616 aanvallers binnen bedrijfsnetwerken laat doen

FortiClient EMS is ontworpen om IT-beheerders gecentraliseerde controle te geven over eindpuntbeveiligingsbeleid, VPN-configuraties en software-uitrol binnen een bedrijfsvloot. Dat administratieve bereik is precies wat CVE-2026-35616 zo gevaarlijk maakt.

Door misbruik te maken van de authenticatie-omzeilingskwetsbaarheid kunnen aanvallers zich voordoen als legitieme beheerders op de server. Vanuit die positie kunnen ze software naar beheerde apparaten pushen, eindpuntconfiguraties wijzigen en opdrachten op afstand uitvoeren zonder de standaard authenticatiecontroles te activeren die beveiligingsteams normaal gesproken zouden waarschuwen. In de campagne van mei 2026 gebruikten aanvallers deze toegang om een infostealer te verspreiden die zich voordeed als een legitieme Fortinet-patch, een social engineering-laag die ervoor zorgt dat de schadelijke payload er voor zowel geautomatiseerde verdediging als menselijke waarnemers uitziet als routineonderhoud.

Fortinet bracht in april 2026 hotfixes uit om de kwetsbaarheid te verhelpen, nadat was vastgesteld dat deze als zero-day in het wild werd misbruikt. Organisaties die deze patches nog niet hebben toegepast, blijven kwetsbaar.

Welke persoonlijke en inloggegevens infostealers van bedrijfsapparaten oogsten

Zodra de infostealer op een eindpunt actief is, is het bereik ervan breed. Moderne infostealers zijn gebouwd om alles wat lokaal is opgeslagen of via het apparaat passeert op te zuigen: opgeslagen browserreferenties, sessiecookies, automatisch ingevulde gegevens, opgeslagen wachtwoorden uit wachtwoordbeheerders, VPN-inloggegevens, tokens van e-mailaccounts en bestanden die overeenkomen met patronen van gevoelige documenten.

Op een bedrijfsapparaat creëert dit een samengesteld privacyprobleem. Werknemers gebruiken werkmachines vaak voor taken die de grens tussen privé en professioneel vervagen. Eén gecompromitteerd eindpunt kan inloggegevens opleveren voor zowel bedrijfssystemen als persoonlijke accounts die de werknemer op dat apparaat heeft geraadpleegd. Sessiecookies zijn bijzonder schadelijk omdat ze aanvallers in staat stellen zich als het slachtoffer te authenticeren zonder dat er überhaupt een wachtwoord nodig is, en in veel gevallen multi-factorauthenticatie omzeilen.

Het bezorgmechanisme via de beheerlaag maakt dit erger. Omdat de payload via een vertrouwd administratief kanaal binnenkomt, kunnen eindpuntdetectietools die op gedragssignalen van de gebruikerslaag vertrouwen, deze mogelijk niet in de initiële leveringsfase onderscheppen.

Deze aanval vertoont structurele overeenkomsten met andere campagnes die vertrouwde softwarekanalen als leveringsmiddel gebruiken. Social engineering-tactieken die malware vermommen als legitieme tools zijn in 2026 een terugkerend thema geworden binnen meerdere dreigingsclusters, wat onderstreept hoe aanvallers consequent de kloof uitbuiten tussen wat legitiem lijkt en wat het werkelijk is.

Waarom compromissen van bedrijfsbeheertools de privacy van werknemers op grote schaal in gevaar brengen

De meeste discussies over datalekken richten zich op de database- of applicatielaag. De FortiClient EMS-campagne legt een ander en onderbelicht risico bloot: compromittering op het niveau van de beheerinfrastructuur.

Wanneer een aanvaller de tool beheerst die eindpunten beheert in plaats van een enkel eindpunt zelf, breidt de impactradius zich drastisch uit. In plaats van dat het apparaat van één medewerker wordt gecompromitteerd, wordt elk apparaat onder die EMS-instantie een potentieel doelwit. Voor grote ondernemingen kan dat betekenen dat honderden of duizenden machines dezelfde kwaadaardige payload ontvangen in één gecoördineerde push.

Dit creëert ook een specifiek privacyprobleem voor werknemers dat zich onderscheidt van een traditioneel datalek in een bedrijfsdatabase. Infostealers die op individuele apparaten draaien, vangen gegevens op die de organisatie zelf mogelijk nooit ziet of centraal opslaat, waaronder persoonlijke browsegeschiedenis, inloggegevens van persoonlijke accounts en lokaal opgeslagen bestanden die nooit een bedrijfsserver hebben geraakt. Werknemers hebben weinig inzicht in wat er van hun eigen machines is geoogst, en standaard incidentresponsprocessen van bedrijven zijn vaak ontworpen rond centrale gegevensopslag in plaats van gedistribueerde eindpuntgegevens.

Wat privacybewuste werknemers en IT-teams nu moeten doen

Voor IT- en beveiligingsteams is patchen de onmiddellijke prioriteit. Fortinet heeft in april 2026 fixes voor CVE-2026-35616 uitgebracht. Elke organisatie die FortiClient EMS gebruikt en deze hotfixes nog niet heeft toegepast, moet dit als urgent beschouwen. Organisaties moeten ook de EMS-toegangslogboeken controleren op afwijkende beheerhandelingen, met name software-uitrol of configuratiewijzigingen die niet door bekende beheerders zijn geïnitieerd.

Naast patchen is deze campagne een nuttige aanleiding om de segmentatie tussen uw beheerinfrastructuur en het bredere netwerk te herzien. EMS-servers mogen niet rechtstreeks vanaf het openbare internet bereikbaar zijn zonder sterke toegangscontroles, en beheerinterfaces moeten extra authenticatielagen vereisen, zelfs voor intern geplaatste gebruikers.

Voor individuele werknemers is het beeld genuanceerder. U heeft beperkt inzicht in wat er op een beheerd bedrijfsapparaat draait, en nog minder controle over de vraag of uw werkgever de relevante patches heeft toegepast. Een paar praktische stappen kunnen uw persoonlijke blootstelling verkleinen:

  • Vermijd het opslaan van inloggegevens voor persoonlijke accounts in browsers op werkapparaten. Als er een infostealer actief is, behoren opgeslagen wachtwoorden tot de eerste zaken die worden buitgemaakt.
  • Gebruik waar mogelijk een apart persoonlijk apparaat voor persoonlijke accounts, zodat dat verkeer volledig buiten de door het bedrijf beheerde infrastructuur blijft.
  • Overweeg een persoonlijke VPN op uw werkapparaat voor verkeer dat buiten bedrijfsmatige doeleinden valt. Aanvallen op de beheerlaag zoals deze richten zich op administratieve kanalen en eindpuntsoftware; een persoonlijke VPN die op het apparaat draait, voegt een extra laag versleutelde verkeersprivacy toe voor uw eigen browsen, die infostealercampagnes die via EMS worden verspreid niet eenvoudig op netwerkniveau kunnen onderscheppen.
  • Schakel hardwarebeveiligingssleutels of phishingbestendige MFA in voor uw meest gevoelige persoonlijke accounts. Zelfs als sessiecookies worden buitgemaakt, zijn accounts die worden beschermd door op hardware gebaseerde tweede factoren aanzienlijk moeilijker toegankelijk.

De FortiClient EMS-infostealeraanval op ondernemingen is een duidelijke herinnering dat compromissen van bedrijfsinfrastructuur ook gebeurtenissen zijn die de persoonlijke privacy raken. Patchen sluit de specifieke deur die CVE-2026-35616 opent, maar het herzien van zowel de beveiligingshouding van uw organisatie als uw eigen gegevenshygiëne op beheerde apparaten is de duurzamere reactie.