CVE-2026-35616: Інфостілер FortiClient EMS влучає в корпоративні мережі

Нова кампанія атак, виявлена в травні 2026 року, спрямована на корпоративні організації через критичну вразливість у Fortinet FortiClient Enterprise Management Server (EMS). Уразливість, яка відстежується як CVE-2026-35616, дозволяє зловмисникам повністю обійти автентифікацію та виконувати адміністративні команди, не маючи жодних дійсних облікових даних. Результатом є атака інфостілера FortiClient EMS на підприємства, яка масштабно досягає керованих корпоративних кінцевих точок, наражаючи на серйозний ризик конфіденційні дані співробітників та організації.

Це не вузькоспрямоване вторгнення. Оскільки FortiClient EMS знаходиться в центрі управління кінцевими точками для великих організацій, одна успішна експлуатація може каскадно поширитися на кожен пристрій, яким керує сервер.

Що CVE-2026-35616 дозволяє зловмисникам робити всередині корпоративних мереж

FortiClient EMS створений для надання ІТ-адміністраторам централізованого контролю над політиками безпеки кінцевих точок, конфігураціями VPN та розгортанням програмного забезпечення в корпоративному парку. Саме цей адміністративний охоплення робить CVE-2026-35616 такою небезпечною.

Використовуючи вразливість обходу автентифікації, зловмисники отримують можливість видавати себе за легітимних адміністративних суб’єктів на сервері. З цієї позиції вони можуть надсилати програмне забезпечення на керовані пристрої, змінювати конфігурації кінцевих точок і виконувати команди віддалено, не запускаючи стандартних перевірок автентифікації, які зазвичай повідомили б служби безпеки. У кампанії травня 2026 року зловмисники використовували цей доступ для доставки інфостілера, замаскованого під легітимний патч Fortinet, — шар соціальної інженерії, який робить шкідливе навантаження схожим на рутинне обслуговування як для автоматизованих засобів захисту, так і для людей-спостерігачів.

Fortinet випустила виправлення для усунення вразливості у квітні 2026 року після того, як її було виявлено під час активної експлуатації як zero-day. Організації, які ще не застосували ці патчі, залишаються вразливими.

Які особисті та облікові дані збирають інфостілери з корпоративних пристроїв

Після запуску інфостілера на кінцевій точці його охоплення є широким. Сучасні інфостілери створені для викачування всього, що зберігається локально або проходить через пристрій: збережених облікових даних браузера, сесійних файлів cookie, даних автозаповнення, збережених паролів з менеджерів паролів, облікових даних VPN, токенів облікових записів електронної пошти та файлів, які відповідають шаблонам, пов’язаним із конфіденційними документами.

На корпоративному пристрої це створює складну проблему конфіденційності. Співробітники часто використовують робочі машини для завдань, які стирають межу між особистим і професійним. Одна скомпрометована кінцева точка може видати облікові дані для входу як до корпоративних систем, так і до особистих облікових записів, до яких співробітник мав доступ на цьому пристрої. Сесійні файли cookie особливо шкідливі, оскільки вони дозволяють зловмисникам автентифікуватися як жертва без потреби в паролі, у багатьох випадках обходячи багатофакторну автентифікацію.

Механізм доставки через рівень управління погіршує ситуацію. Оскільки шкідливе навантаження надходить через довірений адміністративний канал, інструменти виявлення на кінцевих точках, які покладаються на поведінкові сигнали з рівня користувача, можуть не виявити його на початковому етапі доставки.

Ця атака має структурну схожість з іншими кампаніями, які використовують довірені канали програмного забезпечення як засіб доставки. Тактики соціальної інженерії, що маскують шкідливе ПЗ під легітимні інструменти, стали повторюваною темою серед кількох загроз у 2026 році, підкреслюючи, як зловмисники постійно використовують розрив між тим, що виглядає легітимним, і тим, що є насправді.

Чому компрометація корпоративних інструментів управління ставить під загрозу приватність співробітників у великих масштабах

Більшість обговорень витоків даних зосереджуються на рівні бази даних або додатків. Кампанія FortiClient EMS висвітлює інший і недооцінений ризик: компрометацію на рівні інфраструктури управління.

Коли зловмисник контролює інструмент, який керує кінцевими точками, а не одну саму кінцеву точку, радіус ураження різко розширюється. Замість компрометації пристрою одного співробітника, кожен пристрій під цим екземпляром EMS стає потенційною ціллю. Для великих підприємств це може означати сотні або тисячі машин, які отримують однакове шкідливе навантаження в межах одного скоординованого надсилання.

Це також створює специфічну проблему для приватності співробітників, відмінну від традиційного витоку корпоративної бази даних. Інфостілери, що працюють на окремих пристроях, збирають дані, які сама організація може ніколи не бачити або не зберігати централізовано, включно з особистою історією вебперегляду, обліковими даними особистих облікових записів і локально збереженими файлами, які ніколи не торкалися корпоративного сервера. Співробітники мають обмежену видимість того, що було зібрано з їхніх власних машин, а стандартні корпоративні процеси реагування на інциденти часто розроблені навколо централізованих сховищ даних, а не розподілених даних кінцевих точок.

Що свідомі щодо приватності співробітники та ІТ-команди повинні зробити прямо зараз

Для ІТ-команд та команд безпеки негайним пріоритетом є встановлення патчів. Fortinet випустила виправлення для CVE-2026-35616 у квітні 2026 року. Будь-яка організація, яка використовує FortiClient EMS і не застосувала ці виправлення, повинна розглядати це як нагальне завдання. Організації також повинні перевірити журнали доступу EMS на предмет аномальних адміністративних дій, зокрема будь-яких розгортань програмного забезпечення або змін конфігурації, які не були ініційовані відомими адміністраторами.

Окрім встановлення патчів, ця кампанія є хорошою нагодою переглянути сегментацію між вашою інфраструктурою управління та ширшою мережею. Сервери EMS не повинні бути безпосередньо доступними з публічного інтернету без суворих засобів контролю доступу, а адміністративні інтерфейси повинні вимагати додаткових рівнів автентифікації навіть для користувачів, розташованих у внутрішній мережі.

Для окремих співробітників картина більш нюансована. Ви маєте обмежену видимість того, що працює на керованому корпоративному пристрої, і ще менше контролю над тим, чи застосував ваш роботодавець відповідні патчі. Кілька практичних кроків можуть зменшити вашу особисту вразливість:

  • Уникайте зберігання облікових даних особистих облікових записів у браузерах на робочих пристроях. Якщо запущено інфостілер, ці збережені паролі — одне з перших, що він захоплює.
  • Використовуйте окремий особистий пристрій для особистих облікових записів, де це можливо, тримаючи цей трафік повністю поза корпоративною керованою інфраструктурою.
  • Розгляньте особистий VPN на вашому робочому пристрої для трафіку, який виходить за межі корпоративних бізнес-цілей. Атаки на рівні управління, як ця, націлені на адміністративні канали та програмне забезпечення кінцевих точок; особистий VPN, запущений на пристрої, додає рівень зашифрованої приватності трафіку для вашого власного вебперегляду, який кампанії інфостілерів, доставлені через EMS, не можуть легко перехопити на мережевому рівні.
  • Увімкніть апаратні ключі безпеки або стійку до фішингу багатофакторну автентифікацію на ваших найбільш чутливих особистих облікових записах. Навіть якщо сесійні файли cookie захоплені, облікові записи, захищені апаратними другими факторами, значно важче отримати доступ.

Кампанія атаки інфостілера FortiClient EMS на підприємства є чітким нагадуванням, що компрометації корпоративної інфраструктури також є подіями, що стосуються особистої приватності. Встановлення патчів закриває конкретні двері, які відчиняє CVE-2026-35616, але перегляд як вашої організаційної безпекової позиції, так і вашої власної гігієни даних на керованих пристроях є більш довговічною відповіддю.