CVE-2026-35616: Infostealer FortiClient EMS uderza w sieci korporacyjne

Nowa kampania ataków zaobserwowana w maju 2026 r. atakuje organizacje korporacyjne poprzez krytyczną lukę w zabezpieczeniach FortiClient Enterprise Management Server (EMS) firmy Fortinet. Luka, śledzona jako CVE-2026-35616, umożliwia atakującym całkowite pominięcie uwierzytelniania i wykonywanie poleceń administracyjnych bez posiadania ważnych danych logowania. Rezultatem jest atak na przedsiębiorstwa z użyciem infostealera FortiClient EMS, który na dużą skalę dociera do zarządzanych firmowych punktów końcowych, narażając poufne dane pracowników i organizacji na poważne ryzyko.

Nie jest to wąska, ukierunkowana intruzja. Ponieważ FortiClient EMS znajduje się w centrum zarządzania punktami końcowymi w dużych organizacjach, pojedyncze udane wykorzystanie luki może rozprzestrzenić się kaskadowo na wszystkie urządzenia zarządzane przez serwer.

Co luka CVE-2026-35616 umożliwia atakującym w sieciach korporacyjnych

FortiClient EMS został zaprojektowany, aby zapewnić administratorom IT scentralizowaną kontrolę nad politykami bezpieczeństwa punktów końcowych, konfiguracjami VPN i wdrażaniem oprogramowania na flocie firmowych urządzeń. Ten właśnie zasięg administracyjny sprawia, że CVE-2026-35616 jest tak niebezpieczna.

Wykorzystując lukę umożliwiającą pominięcie uwierzytelniania, atakujący zyskują możliwość podszywania się pod uprawnionych administratorów serwera. Z tej pozycji mogą wypychać oprogramowanie na zarządzane urządzenia, modyfikować konfiguracje punktów końcowych i zdalnie wykonywać polecenia, nie uruchamiając standardowych mechanizmów weryfikacji uwierzytelnienia, które normalnie zaalarmowałyby zespoły bezpieczeństwa. W kampanii z maja 2026 r. atakujący wykorzystali ten dostęp, aby dostarczyć infostealer podszywający się pod legalną łatkę Fortineta – warstwę socjotechniczną, która sprawia, że złośliwy ładunek wygląda na rutynową konserwację zarówno dla automatycznych mechanizmów obronnych, jak i ludzkich obserwatorów.

Fortinet wydał poprawki hotfix usuwające tę lukę w kwietniu 2026 r., po tym jak zidentyfikowano jej wykorzystywanie jako zero-day w atakach. Organizacje, które jeszcze nie zastosowały tych poprawek, pozostają narażone.

Jakie dane osobowe i uwierzytelniające zbierają infostealery z urządzeń firmowych

Gdy infostealer uruchomi się na punkcie końcowym, jego zasięg jest szeroki. Współczesne infostealery są zaprojektowane tak, aby „odkurzać” wszystko, co jest przechowywane lokalnie lub przechodzi przez urządzenie: zapisane dane logowania przeglądarek, ciasteczka sesyjne, dane autouzupełniania, zapisane hasła z menedżerów haseł, dane logowania VPN, tokeny kont e-mail oraz pliki pasujące do wzorców kojarzonych z dokumentami wrażliwymi.

Na urządzeniu firmowym tworzy to złożony problem prywatności. Pracownicy często używają służbowych maszyn do zadań, które zacierają granicę między sferą osobistą a zawodową. Pojedynczy skompromitowany punkt końcowy może ujawnić dane logowania zarówno do systemów firmowych, jak i do kont osobistych, do których pracownik akurat uzyskał dostęp na tym urządzeniu. Ciasteczka sesyjne są szczególnie szkodliwe, ponieważ pozwalają atakującym uwierzytelnić się jako ofiara bez konieczności posiadania hasła, w wielu przypadkach omijając uwierzytelnianie wieloskładnikowe.

Mechanizm dostarczania na poziomie warstwy zarządzania pogarsza sytuację. Ponieważ ładunek dociera przez zaufany kanał administracyjny, narzędzia do wykrywania zagrożeń na punktach końcowych, które opierają się na sygnałach behawioralnych z warstwy użytkownika, mogą go nie wychwycić na początkowym etapie dostarczania.

Atak ten wykazuje strukturalne podobieństwa do innych kampanii wykorzystujących zaufane kanały dystrybucji oprogramowania jako nośniki dostarczania. Taktyki socjotechniczne maskujące złośliwe oprogramowanie jako legalne narzędzia stały się powracającym motywem w wielu grupach zagrożeń w 2026 r., podkreślając, jak konsekwentnie atakujący wykorzystują rozdźwięk między tym, co wygląda na legalne, a tym, co jest nim w rzeczywistości.

Dlaczego kompromitacja narzędzi do zarządzania przedsiębiorstwem zagraża prywatności pracowników na masową skalę

Większość dyskusji o naruszeniach danych koncentruje się na bazie danych lub warstwie aplikacji. Kampania związana z FortiClient EMS uwypukla inne, niedoceniane ryzyko: kompromitację na poziomie infrastruktury zarządzania.

Gdy atakujący przejmuje kontrolę nad narzędziem zarządzającym punktami końcowymi, a nie nad pojedynczym punktem końcowym, promień rażenia dramatycznie się zwiększa. Zamiast kompromitacji urządzenia jednego pracownika, potencjalnym celem staje się każde urządzenie objęte daną instancją EMS. W przypadku dużych przedsiębiorstw może to oznaczać setki lub tysiące maszyn otrzymujących ten sam złośliwy ładunek w ramach jednego skoordynowanego wypchnięcia.

Stwarza to również specyficzny problem dla prywatności pracowników, odmienny od tradycyjnego naruszenia firmowej bazy danych. Infostealery działające na poszczególnych urządzeniach przechwytują dane, których organizacja mogła nigdy nie widzieć ani nie przechowywać centralnie, w tym osobistą historię przeglądania, dane logowania do kont osobistych i lokalnie zapisane pliki, które nigdy nie trafiły na serwer firmowy. Pracownicy mają niewielki wgląd w to, co zostało zebrane z ich własnych maszyn, a standardowe firmowe procedury reagowania na incydenty są często zaprojektowane wokół scentralizowanych magazynów danych, a nie rozproszonych danych z punktów końcowych.

Co powinni teraz zrobić dbający o prywatność pracownicy i zespoły IT

Dla zespołów IT i bezpieczeństwa natychmiastowym priorytetem jest instalacja poprawek. Fortinet wydał poprawki dla CVE-2026-35616 w kwietniu 2026 r. Każda organizacja korzystająca z FortiClient EMS, która nie zastosowała tych poprawek, powinna potraktować to jako pilne. Organizacje powinny również przejrzeć dzienniki dostępu EMS pod kątem nietypowych działań administracyjnych, w szczególności wdrożeń oprogramowania lub zmian konfiguracji, które nie zostały zainicjowane przez znanych administratorów.

Poza łataniem, kampania ta jest dobrym pretekstem do przejrzenia segmentacji między infrastrukturą zarządzania a szerszą siecią. Serwery EMS nie powinny być bezpośrednio dostępne z publicznego internetu bez silnych mechanizmów kontroli dostępu, a interfejsy administracyjne powinny wymagać dodatkowych warstw uwierzytelniania nawet dla użytkowników wewnętrznych.

Dla indywidualnych pracowników sytuacja jest bardziej złożona. Masz ograniczoną widoczność tego, co działa na zarządzanym urządzeniu firmowym, a jeszcze mniejszą kontrolę nad tym, czy pracodawca zastosował odpowiednie poprawki. Kilka praktycznych kroków może ograniczyć Twoją osobistą ekspozycję:

  • Unikaj przechowywania danych logowania do kont osobistych w przeglądarkach na urządzeniach służbowych. Jeśli uruchomi się infostealer, zapisane hasła będą jednymi z pierwszych rzeczy, które przechwyci.
  • Korzystaj z oddzielnego urządzenia osobistego do kont prywatnych, gdy to możliwe, trzymając ten ruch całkowicie poza firmową infrastrukturą zarządzaną.
  • Rozważ użycie osobistej sieci VPN na urządzeniu służbowym do ruchu wykraczającego poza cele biznesowe firmy. Ataki na warstwę zarządzania, takie jak ten, celują w kanały administracyjne i oprogramowanie punktów końcowych; osobista sieć VPN działająca na urządzeniu dodaje warstwę prywatności szyfrowanego ruchu dla Twojego własnego przeglądania, której kampanie infostealerów dostarczane przez EMS nie mogą łatwo przechwycić na poziomie sieci.
  • Włącz fizyczne klucze bezpieczeństwa lub uwierzytelnianie wieloskładnikowe odporne na phishing na swoich najbardziej wrażliwych kontach osobistych. Nawet jeśli ciasteczka sesyjne zostaną przechwycone, do kont chronionych sprzętowymi drugimi składnikami uwierzytelniania jest znacznie trudniej uzyskać dostęp.

Kampania ataków na przedsiębiorstwa z użyciem infostealera FortiClient EMS jest wyraźnym przypomnieniem, że kompromitacja infrastruktury firmowej to również zdarzenie z zakresu prywatności osobistej. Łatanie zamyka konkretne drzwi, które otwiera CVE-2026-35616, ale przejrzenie zarówno stanu bezpieczeństwa organizacji, jak i własnej higieny danych na urządzeniach zarządzanych jest trwalszą odpowiedzią.