CVE-2026-35616: Trình đánh cắp thông tin FortiClient EMS tấn công mạng doanh nghiệp

Một chiến dịch tấn công mới được quan sát vào tháng 5 năm 2026 đang nhắm mục tiêu vào các tổ chức doanh nghiệp thông qua một lỗ hổng nghiêm trọng trong FortiClient Enterprise Management Server (EMS) của Fortinet. Lỗ hổng này, được theo dõi với mã CVE-2026-35616, cho phép kẻ tấn công vượt qua hoàn toàn xác thực và thực thi các lệnh quản trị mà không cần nắm giữ bất kỳ thông tin đăng nhập hợp lệ nào. Kết quả là một cuộc tấn công doanh nghiệp bằng trình đánh cắp thông tin FortiClient EMS, vươn tới các điểm cuối công ty được quản lý trên quy mô lớn, đặt dữ liệu nhạy cảm của nhân viên và tổ chức vào tình trạng rủi ro nghiêm trọng.

Đây không phải là một vụ xâm nhập hẹp, nhắm mục tiêu cụ thể. Bởi vì FortiClient EMS nằm ở trung tâm quản lý điểm cuối của các tổ chức lớn, một lần khai thác thành công duy nhất có thể lan rộng ra mọi thiết bị mà máy chủ đó quản lý.

CVE-2026-35616 cho phép kẻ tấn công làm gì bên trong mạng doanh nghiệp

FortiClient EMS được thiết kế để cung cấp cho quản trị viên CNTT khả năng kiểm soát tập trung đối với các chính sách bảo mật điểm cuối, cấu hình VPN và triển khai phần mềm trên toàn bộ đội máy của công ty. Chính phạm vi quản trị đó là điều khiến CVE-2026-35616 trở nên nguy hiểm đến vậy.

Bằng cách khai thác lỗ hổng vượt xác thực, kẻ tấn công có được khả năng mạo danh các tác nhân quản trị hợp pháp trên máy chủ. Từ vị trí đó, chúng có thể đẩy phần mềm xuống các thiết bị được quản lý, sửa đổi cấu hình điểm cuối và thực thi lệnh từ xa mà không kích hoạt các bước kiểm tra xác thực tiêu chuẩn vốn thường cảnh báo cho đội ngũ bảo mật. Trong chiến dịch tháng 5 năm 2026, kẻ tấn công đã sử dụng quyền truy cập này để phát tán một trình đánh cắp thông tin được ngụy trang thành bản vá Fortinet hợp pháp, một lớp kỹ thuật xã hội khiến tải trọng độc hại trông giống như hoạt động bảo trì thông thường đối với cả hệ thống phòng thủ tự động lẫn người quan sát.

Fortinet đã phát hành các bản sửa lỗi khẩn cấp cho lỗ hổng này vào tháng 4 năm 2026, sau khi phát hiện nó bị khai thác dưới dạng zero-day ngoài thực địa. Các tổ chức chưa áp dụng những bản vá đó vẫn đang nằm trong diện bị ảnh hưởng.

Dữ liệu cá nhân và thông tin xác thực mà trình đánh cắp thông tin thu thập từ thiết bị công ty

Một khi trình đánh cắp thông tin chạy trên một điểm cuối, phạm vi của nó rất rộng. Các trình đánh cắp thông tin hiện đại được xây dựng để hút sạch mọi thứ được lưu trữ cục bộ hoặc đi qua thiết bị: thông tin đăng nhập trình duyệt đã lưu, cookie phiên, dữ liệu tự động điền, mật khẩu đã lưu từ trình quản lý mật khẩu, thông tin đăng nhập VPN, mã thông báo tài khoản email và các tệp khớp với mẫu liên quan đến tài liệu nhạy cảm.

Trên một thiết bị công ty, điều này tạo ra một vấn đề về quyền riêng tư chồng chéo. Nhân viên thường xuyên sử dụng máy làm việc cho các tác vụ làm mờ ranh giới giữa cá nhân và công việc. Một điểm cuối duy nhất bị xâm phạm có thể mang lại thông tin đăng nhập cho cả hệ thống công ty lẫn các tài khoản cá nhân mà nhân viên vô tình truy cập trên thiết bị đó. Cookie phiên đặc biệt nguy hiểm vì chúng cho phép kẻ tấn công xác thực với tư cách nạn nhân mà không cần mật khẩu, trong nhiều trường hợp có thể vượt qua cả xác thực đa yếu tố.

Cơ chế phát tán qua lớp quản lý khiến tình hình tồi tệ hơn. Vì tải trọng đến qua một kênh quản trị đáng tin cậy, các công cụ phát hiện điểm cuối dựa trên tín hiệu hành vi từ lớp người dùng có thể không bắt được nó ở giai đoạn phát tán ban đầu.

Cuộc tấn công này có những điểm tương đồng về cấu trúc với các chiến dịch khác sử dụng các kênh phần mềm đáng tin cậy làm phương tiện phát tán. Các chiến thuật kỹ thuật xã hội ngụy trang phần mềm độc hại thành công cụ hợp pháp đã trở thành một chủ đề tái diễn trên nhiều cụm đe dọa trong năm 2026, nhấn mạnh cách những kẻ tấn công liên tục khai thác khoảng cách giữa thứ trông có vẻ hợp pháp và thứ thực sự hợp pháp.

Tại sao các vụ xâm phạm công cụ quản lý doanh nghiệp khiến quyền riêng tư của nhân viên bị đe dọa trên quy mô lớn

Hầu hết các cuộc thảo luận về vi phạm dữ liệu đều tập trung vào cơ sở dữ liệu hoặc lớp ứng dụng. Chiến dịch FortiClient EMS làm nổi bật một rủi ro khác và ít được đánh giá đúng mức: xâm phạm ở lớp hạ tầng quản lý.

Khi kẻ tấn công kiểm soát công cụ quản lý các điểm cuối thay vì chỉ một điểm cuối đơn lẻ, bán kính ảnh hưởng mở rộng đáng kể. Thay vì một thiết bị của nhân viên bị xâm phạm, mọi thiết bị thuộc phiên bản EMS đó đều trở thành mục tiêu tiềm năng. Đối với các doanh nghiệp lớn, điều đó có thể đồng nghĩa với hàng trăm hoặc hàng nghìn máy nhận cùng một tải trọng độc hại trong một lần đẩy phối hợp duy nhất.

Điều này cũng tạo ra một vấn đề cụ thể về quyền riêng tư của nhân viên, khác biệt so với một vụ vi phạm cơ sở dữ liệu công ty truyền thống. Các trình đánh cắp thông tin chạy trên từng thiết bị thu thập dữ liệu mà chính tổ chức có thể không bao giờ thấy hoặc lưu trữ tập trung, bao gồm lịch sử duyệt web cá nhân, thông tin đăng nhập tài khoản cá nhân và các tệp được lưu cục bộ chưa từng chạm đến máy chủ công ty. Nhân viên có rất ít khả năng nhìn thấy những gì đã bị thu thập từ chính máy của họ, và các quy trình ứng phó sự cố tiêu chuẩn của công ty thường được thiết kế xoay quanh kho dữ liệu tập trung thay vì dữ liệu phân tán trên điểm cuối.

Những điều nhân viên quan tâm đến quyền riêng tư và đội ngũ CNTT nên làm ngay bây giờ

Đối với đội ngũ CNTT và bảo mật, ưu tiên trước mắt là vá lỗi. Fortinet đã phát hành bản sửa lỗi cho CVE-2026-35616 vào tháng 4 năm 2026. Bất kỳ tổ chức nào đang chạy FortiClient EMS mà chưa áp dụng các bản sửa lỗi khẩn cấp đó nên xem đây là việc cấp bách. Các tổ chức cũng nên kiểm tra nhật ký truy cập EMS để tìm các hành động quản trị bất thường, đặc biệt là bất kỳ đợt triển khai phần mềm hoặc thay đổi cấu hình nào không do các quản trị viên đã biết khởi tạo.

Ngoài việc vá lỗi, chiến dịch này là một lời nhắc hữu ích để rà soát lại sự phân đoạn giữa hạ tầng quản lý của bạn và mạng rộng hơn. Các máy chủ EMS không nên có thể truy cập trực tiếp từ internet công cộng nếu không có các biện pháp kiểm soát truy cập mạnh, và các giao diện quản trị nên yêu cầu các lớp xác thực bổ sung ngay cả đối với người dùng nằm trong mạng nội bộ.

Đối với từng nhân viên, bức tranh phức tạp hơn. Bạn có khả năng hiển thị hạn chế về những gì đang chạy trên thiết bị công ty được quản lý, và càng ít khả năng kiểm soát việc liệu chủ lao động của bạn đã áp dụng các bản vá liên quan hay chưa. Một vài bước thiết thực có thể giảm thiểu rủi ro cá nhân của bạn:

  • Tránh lưu thông tin đăng nhập tài khoản cá nhân trong trình duyệt trên thiết bị công việc. Nếu một trình đánh cắp thông tin chạy, những mật khẩu đã lưu đó là một trong những thứ đầu tiên nó thu thập.
  • Sử dụng một thiết bị cá nhân riêng cho các tài khoản cá nhân nếu có thể, giữ toàn bộ lưu lượng đó hoàn toàn tách biệt khỏi hạ tầng do công ty quản lý.
  • Cân nhắc sử dụng VPN cá nhân trên thiết bị công việc cho những lưu lượng nằm ngoài mục đích kinh doanh của công ty. Các cuộc tấn công nhắm vào lớp quản lý như thế này nhằm vào các kênh quản trị và phần mềm điểm cuối; một VPN cá nhân chạy trên thiết bị sẽ bổ sung một lớp bảo mật mã hóa lưu lượng cho hoạt động duyệt web riêng của bạn mà các chiến dịch trình đánh cắp thông tin phát tán qua EMS khó có thể dễ dàng chặn bắt ở cấp độ mạng.
  • Kích hoạt khóa bảo mật phần cứng hoặc MFA chống phishing trên các tài khoản cá nhân nhạy cảm nhất của bạn. Ngay cả khi cookie phiên bị đánh cắp, các tài khoản được bảo vệ bởi yếu tố thứ hai dựa trên phần cứng sẽ khó bị truy cập hơn đáng kể.

Chiến dịch tấn công doanh nghiệp bằng trình đánh cắp thông tin FortiClient EMS là một lời nhắc nhở rõ ràng rằng các vụ xâm phạm hạ tầng công ty cũng đồng thời là những sự kiện ảnh hưởng đến quyền riêng tư cá nhân. Vá lỗi sẽ đóng lại cánh cửa cụ thể mà CVE-2026-35616 mở ra, nhưng việc rà soát lại cả thế trận bảo mật tổ chức lẫn thói quen vệ sinh dữ liệu của chính bạn trên các thiết bị được quản lý mới là phản ứng bền vững hơn.