CVE-2026-35616: Инфостилер FortiClient EMS поражает корпоративные сети

Новая атакующая кампания, замеченная в мае 2026 года, нацелена на предприятия через критическую уязвимость в Fortinet FortiClient Enterprise Management Server (EMS). Уязвимость, отслеживаемая как CVE-2026-35616, позволяет злоумышленникам полностью обойти аутентификацию и выполнять административные команды, не имея действительных учётных данных. В результате атака через инфостилер FortiClient EMS достигает управляемых корпоративных конечных точек в массовом масштабе, подвергая серьёзному риску конфиденциальные данные сотрудников и организации.

Это не узконаправленное вторжение. Поскольку FortiClient EMS находится в центре управления конечными точками для крупных организаций, одна успешная эксплуатация может распространиться на все устройства, которыми управляет сервер.

Что CVE-2026-35616 позволяет злоумышленникам делать внутри корпоративных сетей

FortiClient EMS разработан для предоставления ИТ-администраторам централизованного контроля над политиками безопасности конечных точек, конфигурациями VPN и развёртыванием программного обеспечения по всему корпоративному парку. Именно этот административный охват делает CVE-2026-35616 столь опасной.

Используя уязвимость обхода аутентификации, злоумышленники получают возможность выдавать себя за легитимных административных субъектов на сервере. С этой позиции они могут распространять ПО на управляемые устройства, изменять конфигурации конечных точек и удалённо выполнять команды, не вызывая стандартных проверок подлинности, которые обычно предупредили бы службы безопасности. В кампании мая 2026 года злоумышленники использовали этот доступ для доставки инфостилера, замаскированного под легитимное обновление Fortinet, — слой социальной инженерии, который заставляет вредоносную нагрузку выглядеть как рутинное обслуживание как для автоматических средств защиты, так и для наблюдателей-людей.

Fortinet выпустила хотфиксы, устраняющие уязвимость, в апреле 2026 года, после того как было обнаружено, что она эксплуатировалась как zero-day в реальных атаках. Организации, которые ещё не применили эти исправления, остаются уязвимыми.

Какие личные и учётные данные собирают инфостилеры с корпоративных устройств

После того как инфостилер запущен на конечной точке, его охват широк. Современные инфостилеры созданы для того, чтобы всасывать всё, что хранится локально или проходит через устройство: сохранённые учётные данные браузеров, сессионные cookie, данные автозаполнения, сохранённые пароли из менеджеров паролей, учётные данные VPN, токены учётных записей электронной почты и файлы, соответствующие шаблонам, характерным для конфиденциальных документов.

На корпоративном устройстве это создаёт усугублённую проблему конфиденциальности. Сотрудники часто используют рабочие машины для задач, стирающих грань между личным и профессиональным. Одна скомпрометированная конечная точка может выдать учётные данные как корпоративных систем, так и личных аккаунтов, к которым сотрудник случайно обращался на этом устройстве. Сессионные cookie особенно опасны, поскольку позволяют злоумышленникам аутентифицироваться как жертва, вообще не нуждаясь в пароле, во многих случаях обходя многофакторную аутентификацию.

Механизм доставки на уровне управления усугубляет ситуацию. Поскольку вредоносная нагрузка приходит через доверенный административный канал, инструменты обнаружения на конечных точках, полагающиеся на поведенческие сигналы с пользовательского уровня, могут не заметить её на этапе первоначальной доставки.

Эта атака имеет структурное сходство с другими кампаниями, использующими доверенные программные каналы в качестве средств доставки. Тактики социальной инженерии, маскирующие вредоносное ПО под легитимные инструменты, стали повторяющейся темой в нескольких группах угроз в 2026 году, подчёркивая, как злоумышленники постоянно эксплуатируют разрыв между тем, что выглядит легитимным, и тем, что является таковым на самом деле.

Почему компрометация корпоративных инструментов управления ставит под угрозу конфиденциальность сотрудников в масштабе

Большинство обсуждений утечек данных фокусируются на уровне базы данных или приложения. Кампания FortiClient EMS высвечивает иной и недооценённый риск: компрометацию на уровне инфраструктуры управления.

Когда злоумышленник контролирует инструмент, управляющий конечными точками, а не одну конечную точку, радиус взрыва резко увеличивается. Вместо компрометации устройства одного сотрудника, каждое устройство, подпадающее под этот экземпляр EMS, становится потенциальной целью. Для крупных предприятий это может означать сотни или тысячи машин, получающих одну и ту же вредоносную нагрузку за один координированный толчок.

Это также создаёт специфическую проблему для конфиденциальности сотрудников, отличную от традиционной утечки корпоративной базы данных. Инфостилеры, работающие на отдельных устройствах, захватывают данные, которые сама организация может никогда не увидеть и не хранить централизованно, включая личную историю просмотров, учётные данные личных аккаунтов и локально сохранённые файлы, которые никогда не попадали на корпоративный сервер. Сотрудники имеют слабое представление о том, что было собрано с их собственных машин, а стандартные процессы реагирования на инциденты в компаниях часто разработаны для централизованных хранилищ данных, а не для распределённых данных конечных точек.

Что должны делать сейчас сотрудники, заботящиеся о конфиденциальности, и ИТ-команды

Для ИТ-команд и служб безопасности первоочередная задача — установка исправлений. Fortinet выпустила исправления для CVE-2026-35616 в апреле 2026 года. Любая организация, использующая FortiClient EMS и не применившая эти хотфиксы, должна рассматривать это как критическую срочность. Организациям также следует проверить журналы доступа EMS на предмет аномальных административных действий, особенно любых развёртываний ПО или изменений конфигурации, которые не были инициированы известными администраторами.

Помимо исправлений, эта кампания — полезный повод пересмотреть сегментацию между вашей инфраструктурой управления и более широкой сетью. Серверы EMS не должны быть напрямую доступны из публичного интернета без строгих средств контроля доступа, а административные интерфейсы должны требовать дополнительных уровней аутентификации даже для внутренних пользователей.

Для отдельных сотрудников картина более тонкая. У вас ограниченная видимость того, что работает на управляемом корпоративном устройстве, и ещё меньше контроля над тем, применил ли ваш работодатель соответствующие исправления. Несколько практических шагов могут снизить вашу личную уязвимость:

  • Не храните учётные данные личных аккаунтов в браузерах на рабочих устройствах. Если запустится инфостилер, сохранённые пароли окажутся в числе первых захваченных данных.
  • Используйте отдельное личное устройство для личных аккаунтов по возможности, полностью исключая этот трафик из корпоративно-управляемой инфраструктуры.
  • Рассмотрите использование личного VPN на рабочем устройстве для трафика, выходящего за рамки корпоративных деловых целей. Атаки на уровне управления, подобные этой, нацелены на административные каналы и ПО конечных точек; личный VPN, работающий на устройстве, добавляет уровень шифрованной конфиденциальности трафика для вашего собственного сёрфинга, который кампании инфостилеров, доставляемые через EMS, не могут легко перехватить на сетевом уровне.
  • Включите аппаратные ключи безопасности или устойчивую к фишингу многофакторную аутентификацию для ваших наиболее чувствительных личных аккаунтов. Даже если сессионные cookie будут захвачены, аккаунты, защищённые аппаратными вторыми факторами, значительно труднее скомпрометировать.

Кампания атаки через инфостилер FortiClient EMS на предприятия служит ясным напоминанием о том, что компрометация корпоративной инфраструктуры — это также событие, затрагивающее личную конфиденциальность. Установка исправлений закрывает конкретную дверь, которую открывает CVE-2026-35616, однако пересмотр как организационной безопасности, так и вашей собственной гигиены данных на управляемых устройствах — это более устойчивый ответ.