CVE-2026-35616: ตัวขโมยข้อมูล FortiClient EMS โจมตีเครือข่ายองค์กร

แคมเปญโจมตีใหม่ที่พบในเดือนพฤษภาคม 2026 กำลังมุ่งเป้าไปยังองค์กรธุรกิจผ่านช่องโหว่ร้ายแรงใน FortiClient Enterprise Management Server (EMS) ของ Fortinet ช่องโหว่ที่ถูกระบุรหัส CVE-2026-35616 นี้ทำให้ผู้โจมตีสามารถเลี่ยงการตรวจสอบสิทธิ์ได้อย่างสมบูรณ์ และดำเนินการคำสั่งระดับผู้ดูแลระบบโดยไม่ต้องมีข้อมูลประจำตัวที่ถูกต้องเลย ผลลัพธ์คือการโจมตีองค์กรด้วยตัวขโมยข้อมูลผ่าน FortiClient EMS ที่เข้าถึงอุปกรณ์ปลายทางที่มีการจัดการขององค์กรในวงกว้าง ทำให้ข้อมูลส่วนบุคคลที่ละเอียดอ่อนของพนักงานและข้อมูลองค์กรตกอยู่ในความเสี่ยงร้ายแรง

นี่ไม่ใช่การบุกรุกแบบเจาะจงในวงแคบ เนื่องจาก FortiClient EMS เป็นศูนย์กลางของการจัดการอุปกรณ์ปลายทางสำหรับองค์กรขนาดใหญ่ การโจมตีสำเร็จเพียงครั้งเดียวสามารถลุกลามไปยังอุปกรณ์ทุกเครื่องที่เซิร์ฟเวอร์นั้นดูแลอยู่

CVE-2026-35616 ทำให้ผู้โจมตีทำอะไรได้บ้างภายในเครือข่ายองค์กร

FortiClient EMS ถูกออกแบบมาเพื่อให้ผู้ดูแลระบบไอทีมีศูนย์กลางควบคุมนโยบายความปลอดภัยของอุปกรณ์ปลายทาง การตั้งค่า VPN และการกระจายซอฟต์แวร์ทั่วทั้งอุปกรณ์ในองค์กร ขอบเขตการควบคุมจากส่วนกลางแบบนี้เองที่ทำให้ CVE-2026-35616 อันตรายอย่างยิ่ง

ด้วยการโจมตีผ่านช่องโหว่เลี่ยงการตรวจสอบสิทธิ์ ผู้โจมตีสามารถปลอมตัวเป็นผู้ดูแลระบบที่ถูกต้องบนเซิร์ฟเวอร์ จากจุดนั้น พวกเขาสามารถผลักดันซอฟต์แวร์ไปยังอุปกรณ์ที่จัดการ ปรับเปลี่ยนการตั้งค่าอุปกรณ์ปลายทาง และรันคำสั่งจากระยะไกลโดยไม่ก่อให้เกิดการตรวจสอบสิทธิ์ตามปกติที่มักจะแจ้งเตือนทีมความปลอดภัย ในแคมเปญเดือนพฤษภาคม 2026 ผู้โจมตีใช้การเข้าถึงนี้เพื่อส่งตัวขโมยข้อมูลที่ปลอมตัวเป็นแพตช์ของ Fortinet ที่ถูกต้อง ซึ่งเป็นเทคนิควิศวกรรมสังคมที่ทำให้เพย์โหลดอันตรายดูเหมือนการบำรุงรักษาตามปกติสำหรับทั้งระบบป้องกันอัตโนมัติและผู้สังเกตการณ์ที่เป็นมนุษย์

Fortinet ได้ออกแพตช์แก้ไขด่วนเพื่อจัดการกับช่องโหว่นี้ในเดือนเมษายน 2026 หลังจากพบว่ามันถูกใช้เป็นช่องโหว่ซีโร่เดย์ในการโจมตีจริง องค์กรที่ยังไม่ได้อัปเดตแพตช์ดังกล่าวยังคงมีความเสี่ยง

ตัวขโมยข้อมูลเก็บเกี่ยวข้อมูลส่วนบุคคลและข้อมูลประจำตัวอะไรบ้างจากอุปกรณ์องค์กร

เมื่อตัวขโมยข้อมูลทำงานบนอุปกรณ์ปลายทาง ขอบเขตของมันกว้างมาก ตัวขโมยข้อมูลสมัยใหม่ถูกออกแบบมาเพื่อดูดทุกสิ่งที่จัดเก็บไว้ในเครื่องหรือส่งผ่านอุปกรณ์นั้น: ข้อมูลประจำตัวของเบราว์เซอร์ที่บันทึกไว้, คุกกี้เซสชัน, ข้อมูลที่กรอกอัตโนมัติ, รหัสผ่านที่บันทึกจากเครื่องมือจัดการรหัสผ่าน, ข้อมูลประจำตัว VPN, โทเค็นบัญชีอีเมล และไฟล์ที่ตรงกับรูปแบบที่เกี่ยวข้องกับเอกสารสำคัญ

บนอุปกรณ์ขององค์กร สิ่งนี้สร้างปัญหาด้านความเป็นส่วนตัวที่ทับซ้อนกัน พนักงานมักใช้เครื่องของที่ทำงานสำหรับงานที่เส้นแบ่งระหว่างเรื่องส่วนตัวและเรื่องงานเลือนราง อุปกรณ์ปลายทางเพียงเครื่องเดียวที่ถูกบุกรุกสามารถเปิดเผยข้อมูลประจำตัวสำหรับทั้งระบบองค์กรและบัญชีส่วนตัวที่พนักงานเคยเข้าถึงบนอุปกรณ์นั้น คุกกี้เซสชันสร้างความเสียหายได้มากเป็นพิเศษเพราะช่วยให้ผู้โจมตีรับรองตัวตนเป็นเหยื่อได้โดยไม่ต้องใช้รหัสผ่านเลย ในหลายกรณีสามารถเลี่ยงการยืนยันตัวตนหลายปัจจัยได้

กลไกการส่งผ่านขั้นตอนการจัดการทำให้สถานการณ์เลวร้ายลง เพราะเพย์โหลดถูกส่งผ่านช่องทางผู้ดูแลระบบที่เชื่อถือได้ เครื่องมือตรวจจับอุปกรณ์ปลายทางที่อาศัยสัญญาณพฤติกรรมจากฝั่งผู้ใช้อาจตรวจไม่พบในขั้นตอนแรกของการส่ง

การโจมตีนี้มีโครงสร้างคล้ายคลึงกับแคมเปญอื่นๆ ที่ใช้ช่องทางซอฟต์แวร์ที่เชื่อถือได้เป็นพาหะส่งมัลแวร์ เทคนิควิศวกรรมสังคมที่ปลอมมัลแวร์เป็นเครื่องมือที่ถูกต้อง ได้กลายเป็นรูปแบบที่เกิดซ้ำในหลายกลุ่มภัยคุกคามในปี 2026 ตอกย้ำว่าผู้โจมตีใช้ประโยชน์จากช่องว่างระหว่างสิ่งที่ดูเหมือนถูกต้องกับสิ่งที่เป็นจริงอย่างสม่ำเสมอ

เหตุใดการบุกรุกเครื่องมือจัดการขององค์กรจึงทำให้ข้อมูลส่วนตัวของพนักงานเสี่ยงในวงกว้าง

การพูดคุยเรื่องการรั่วไหลของข้อมูลส่วนใหญ่มุ่งเน้นไปที่ฐานข้อมูลหรือขั้นของแอปพลิเคชัน แคมเปญ FortiClient EMS ชี้ให้เห็นถึงความเสี่ยงที่แตกต่างและถูกมองข้าม: การบุกรุกที่โครงสร้างพื้นฐานด้านการจัดการ

เมื่อผู้โจมตีควบคุมเครื่องมือที่ใช้จัดการอุปกรณ์ปลายทาง แทนที่จะเป็นอุปกรณ์ปลายทางเพียงเครื่องเดียว รัศมีความเสียหายก็ขยายตัวอย่างมาก แทนที่อุปกรณ์ของพนักงานหนึ่งคนจะถูกบุกรุก ทุกอุปกรณ์ภายใต้อินสแตนซ์ของ EMS นั้นกลายเป็นเป้าหมายที่มีโอกาสถูกโจมตี สำหรับองค์กรขนาดใหญ่ นั่นอาจหมายถึงเครื่องหลายร้อยหรือหลายพันเครื่องได้รับเพย์โหลดอันตรายเดียวกันในการส่งครั้งเดียวที่มีการประสานงาน

นี่ก็สร้างปัญหาเฉพาะด้านความเป็นส่วนตัวของพนักงานที่แตกต่างจากการรั่วไหลของฐานข้อมูลองค์กรแบบดั้งเดิม ตัวขโมยข้อมูลที่ทำงานบนอุปกรณ์แต่ละเครื่องจะดักจับข้อมูลที่องค์กรเองอาจไม่เคยเห็นหรือจัดเก็บไว้ส่วนกลาง รวมถึงประวัติการท่องเว็บส่วนตัว ข้อมูลประจำตัวบัญชีส่วนบุคคล และไฟล์ที่บันทึกในเครื่องซึ่งไม่เคยสัมผัสเซิร์ฟเวอร์ขององค์กร พนักงานแทบไม่รู้ว่าข้อมูลอะไรถูกเก็บเกี่ยวไปจากเครื่องของตนเอง และกระบวนการตอบสนองต่อเหตุการณ์มาตรฐานขององค์กรมักถูกออกแบบโดยอิงจากคลังข้อมูลส่วนกลาง มากกว่าข้อมูลแบบกระจายบนอุปกรณ์ปลายทาง

สิ่งที่พนักงานที่ใส่ใจความเป็นส่วนตัวและทีมไอทีควรทำทันที

สำหรับทีมไอทีและความปลอดภัย ลำดับความสำคัญเร่งด่วนคือการติดตั้งแพตช์ Fortinet ได้ออกแพตช์แก้ไขสำหรับ CVE-2026-35616 ในเดือนเมษายน 2026 องค์กรใดที่ใช้ FortiClient EMS และยังไม่ได้ติดตั้งแพตช์ด่วนเหล่านี้ควรถือว่าเป็นเรื่องเร่งด่วน องค์กรควรตรวจสอบบันทึกการเข้าถึงของ EMS เพื่อค้นหาการกระทำของผู้ดูแลระบบที่ผิดปกติ โดยเฉพาะการกระจายซอฟต์แวร์หรือการเปลี่ยนแปลงการตั้งค่าที่ไม่ได้ริเริ่มโดยผู้ดูแลระบบที่รู้จัก

นอกเหนือจากการติดตั้งแพตช์แล้ว แคมเปญนี้เป็นตัวกระตุ้นให้ทบทวนการแบ่งส่วนระหว่างโครงสร้างพื้นฐานการจัดการของคุณกับเครือข่ายที่กว้างขึ้น เซิร์ฟเวอร์ EMS ไม่ควรเข้าถึงได้โดยตรงจากอินเทอร์เน็ตสาธารณะโดยไม่มีมาตรการควบคุมการเข้าถึงที่เข้มงวด และอินเทอร์เฟซผู้ดูแลระบบควรต้องมีขั้นตอนการตรวจสอบสิทธิ์เพิ่มเติม แม้แต่สำหรับผู้ใช้ที่อยู่ภายในเครือข่าย

สำหรับพนักงานแต่ละคน ภาพมีความซับซ้อนกว่า คุณมีการมองเห็นที่จำกัดว่ามีอะไรทำงานอยู่บนอุปกรณ์ขององค์กรที่ถูกจัดการ และควบคุมได้น้อยลงว่านายจ้างได้ติดตั้งแพตช์ที่เกี่ยวข้องหรือไม่ ต่อไปนี้คือขั้นตอนปฏิบัติบางประการที่ช่วยลดความเสี่ยงส่วนบุคคล:

  • หลีกเลี่ยงการจัดเก็บข้อมูลประจำตัวบัญชีส่วนตัวในเบราว์เซอร์บนอุปกรณ์ทำงาน หากตัวขโมยข้อมูลทำงาน รหัสผ่านที่บันทึกไว้เหล่านี้คือสิ่งแรกๆ ที่มันจะดักจับ
  • ใช้อุปกรณ์ส่วนตัวแยกสำหรับบัญชีส่วนตัว ในกรณีที่เป็นไปได้ ป้องกันไม่ให้ทราฟฟิกนั้นผ่านโครงสร้างพื้นฐานที่จัดการโดยองค์กร
  • พิจารณาใช้ VPN ส่วนตัวบนอุปกรณ์ทำงานของคุณ สำหรับทราฟฟิกที่อยู่นอกเหนือวัตถุประสงค์ทางธุรกิจขององค์กร การโจมตีที่เลเยอร์การจัดการเช่นนี้มุ่งเป้าไปที่ช่องทางผู้ดูแลระบบและซอฟต์แวร์อุปกรณ์ปลายทาง VPN ส่วนตัวที่ทำงานบนอุปกรณ์เพิ่มชั้นความเป็นส่วนตัวของการเข้ารหัสทราฟฟิกสำหรับการท่องเว็บของคุณเอง ซึ่งแคมเปญตัวขโมยข้อมูลที่ส่งผ่าน EMS ไม่สามารถดักจับได้ง่ายในระดับเครือข่าย
  • เปิดใช้คีย์ความปลอดภัยแบบฮาร์ดแวร์หรือ MFA ที่ทนทานต่อฟิชชิง ในบัญชีส่วนตัวที่สำคัญที่สุดของคุณ แม้ว่าคุกกี้เซสชันจะถูกดักจับ แต่บัญชีที่ป้องกันด้วยปัจจัยที่สองที่ใช้ฮาร์ดแวร์จะเข้าถึงได้ยากขึ้นมาก

แคมเปญโจมตีองค์กรด้วยตัวขโมยข้อมูล FortiClient EMS เป็นเครื่องเตือนใจอันชัดเจนว่าการบุกรุกโครงสร้างพื้นฐานขององค์กรก็เป็นเหตุการณ์ด้านความเป็นส่วนตัวส่วนบุคคลเช่นกัน การติดตั้งแพตช์ปิดประตูเฉพาะที่ CVE-2026-35616 เปิดไว้ แต่การทบทวนทั้งภาพรวมด้านความปลอดภัยขององค์กรและสุขอนามัยข้อมูลของคุณเองบนอุปกรณ์ที่ถูกจัดการคือการตอบสนองที่ยั่งยืนกว่า