CVE-2026-35616: Infostealer do FortiClient EMS atinge redes corporativas

Uma nova campanha de ataque observada em maio de 2026 está visando organizações empresariais por meio de uma vulnerabilidade crítica no FortiClient Enterprise Management Server (EMS) da Fortinet. A falha, rastreada como CVE-2026-35616, permite que invasores ignorem completamente a autenticação e executem comandos administrativos sem nunca possuir credenciais válidas. O resultado é um ataque empresarial de infostealer do FortiClient EMS que atinge endpoints corporativos gerenciados em escala, colocando dados confidenciais de funcionários e da organização em sério risco.

Esta não é uma intrusão limitada e direcionada. Como o FortiClient EMS está no centro do gerenciamento de endpoints para grandes organizações, uma única exploração bem-sucedida pode se propagar por todos os dispositivos que o servidor gerencia.

O que a CVE-2026-35616 permite que invasores façam dentro das redes corporativas

O FortiClient EMS foi projetado para dar aos administradores de TI controle centralizado sobre políticas de segurança de endpoints, configurações de VPN e implantações de software em toda a frota corporativa. Esse alcance administrativo é exatamente o que torna a CVE-2026-35616 tão perigosa.

Explorando a falha de bypass de autenticação, os invasores ganham a capacidade de se passar por atores administrativos legítimos no servidor. A partir dessa posição, eles podem enviar software para dispositivos gerenciados, modificar configurações de endpoints e executar comandos remotamente sem disparar as verificações de autenticação padrão que normalmente alertariam as equipes de segurança. Na campanha de maio de 2026, os invasores usaram esse acesso para entregar um infostealer disfarçado como um patch legítimo da Fortinet, uma camada de engenharia social que faz a carga maliciosa parecer manutenção de rotina tanto para defesas automatizadas quanto para observadores humanos.

A Fortinet lançou hotfixes para corrigir a vulnerabilidade em abril de 2026, depois que ela foi identificada sendo explorada como um zero-day em ataques reais. As organizações que ainda não aplicaram esses patches permanecem expostas.

Quais dados pessoais e de credenciais os infostealers coletam de dispositivos corporativos

Uma vez que o infostealer está em execução em um endpoint, seu escopo é amplo. Os infostealers modernos são criados para aspirar tudo o que está armazenado localmente ou passando pelo dispositivo: credenciais salvas no navegador, cookies de sessão, dados de preenchimento automático, senhas armazenadas de gerenciadores de senhas, credenciais de VPN, tokens de conta de e-mail e arquivos que correspondem a padrões associados a documentos confidenciais.

Em um dispositivo corporativo, isso cria um problema de privacidade agravado. Os funcionários frequentemente usam máquinas de trabalho para tarefas que borram a linha entre o pessoal e o profissional. Um único endpoint comprometido pode fornecer credenciais de login tanto para sistemas corporativos quanto para contas pessoais que o funcionário tenha acessado nesse dispositivo. Os cookies de sessão são particularmente prejudiciais porque permitem que os invasores se autentiquem como a vítima sem precisar de uma senha, ignorando a autenticação multifator em muitos casos.

O mecanismo de entrega na camada de gerenciamento agrava isso. Como a carga chega por meio de um canal administrativo confiável, as ferramentas de detecção de endpoint que dependem de sinais comportamentais da camada do usuário podem não detectá-la no estágio inicial de entrega.

Esse ataque compartilha semelhanças estruturais com outras campanhas que usam canais de software confiáveis como veículos de entrega. Táticas de engenharia social que disfarçam malware como ferramentas legítimas tornaram-se um tema recorrente em vários grupos de ameaças em 2026, ressaltando como os invasores exploram consistentemente a lacuna entre o que parece legítimo e o que realmente é.

Por que comprometimentos de ferramentas de gerenciamento empresarial colocam a privacidade dos funcionários em risco em escala

A maioria das discussões sobre violações de dados foca na camada de banco de dados ou de aplicação. A campanha do FortiClient EMS destaca um risco diferente e subestimado: o comprometimento na camada de infraestrutura de gerenciamento.

Quando um invasor controla a ferramenta que gerencia endpoints, em vez de um único endpoint, o raio de impacto se expande dramaticamente. Em vez de apenas um dispositivo de funcionário ser comprometido, cada dispositivo sob essa instância do EMS se torna um alvo potencial. Para grandes empresas, isso pode significar centenas ou milhares de máquinas recebendo a mesma carga maliciosa em um único envio coordenado.

Isso também cria um problema específico para a privacidade dos funcionários, distinto de uma violação tradicional de um banco de dados corporativo. Os infostealers em execução em dispositivos individuais capturam dados que a própria organização pode nunca ver ou armazenar centralmente, incluindo histórico de navegação pessoal, credenciais de contas pessoais e arquivos salvos localmente que nunca passaram por um servidor corporativo. Os funcionários têm pouca visibilidade sobre o que foi coletado de suas próprias máquinas, e os processos padrão de resposta a incidentes corporativos geralmente são projetados em torno de armazenamentos de dados centralizados, e não de dados distribuídos nos endpoints.

O que funcionários preocupados com a privacidade e equipes de TI devem fazer agora

Para as equipes de TI e segurança, a prioridade imediata é aplicar os patches. A Fortinet lançou correções para a CVE-2026-35616 em abril de 2026. Qualquer organização que execute o FortiClient EMS e não tenha aplicado esses hotfixes deve tratá-lo como urgente. As organizações também devem auditar os logs de acesso do EMS em busca de ações administrativas anômalas, especialmente implantações de software ou alterações de configuração que não foram iniciadas por administradores conhecidos.

Além da aplicação de patches, esta campanha é um bom incentivo para revisar a segmentação entre sua infraestrutura de gerenciamento e a rede mais ampla. Os servidores EMS não devem ser diretamente acessíveis pela internet pública sem fortes controles de acesso, e as interfaces administrativas devem exigir camadas adicionais de autenticação mesmo para usuários internos.

Para os funcionários individualmente, o cenário é mais sutil. Você tem visibilidade limitada sobre o que está sendo executado em um dispositivo corporativo gerenciado e ainda menos controle sobre se seu empregador aplicou os patches relevantes. Algumas etapas práticas podem reduzir sua exposição pessoal:

  • Evite armazenar credenciais de contas pessoais nos navegadores em dispositivos de trabalho. Se um infostealer for executado, essas senhas salvas estão entre as primeiras coisas que ele captura.
  • Use um dispositivo pessoal separado para contas pessoais sempre que possível, mantendo esse tráfego completamente fora da infraestrutura gerenciada pela empresa.
  • Considere uma VPN pessoal no seu dispositivo de trabalho para tráfego que esteja fora das finalidades comerciais da empresa. Ataques na camada de gerenciamento como este visam canais administrativos e software de endpoint; uma VPN pessoal em execução no dispositivo adiciona uma camada de privacidade de tráfego criptografado para sua própria navegação, que campanhas de infostealer entregues via EMS não podem interceptar facilmente no nível da rede.
  • Ative chaves de segurança de hardware ou MFA resistente a phishing em suas contas pessoais mais sensíveis. Mesmo que cookies de sessão sejam capturados, contas protegidas por segundos fatores baseados em hardware são significativamente mais difíceis de acessar.

A campanha de ataque empresarial de infostealer do FortiClient EMS é um lembrete claro de que comprometimentos de infraestrutura corporativa também são eventos de privacidade pessoal. A aplicação de patches fecha a porta específica que a CVE-2026-35616 abre, mas revisar tanto a postura de segurança organizacional quanto sua própria higiene de dados em dispositivos gerenciados é a resposta mais duradoura.