CVE-2026-35616：FortiClient EMS 信息窃取程序攻击企业网络

CVE-2026-35616：FortiClient EMS 信息窃取程序攻击企业网络

2026 年 5 月观察到一场新的攻击活动，通过 Fortinet FortiClient 企业管理服务器（EMS）中的一个关键漏洞，针对企业组织发起攻击。该漏洞编号为 CVE-2026-35616，允许攻击者完全绕过身份验证，在从未持有有效凭据的情况下执行管理命令。其结果是形成一种 FortiClient EMS 信息窃取企业攻击，能够大规模触达受管企业端点，将敏感的雇员和组织数据置于严重风险之中。

这并非一次范围狭窄、目标单一的入侵。由于 FortiClient EMS 处于大型组织端点管理的核心位置，一次成功的漏洞利用可能迅速蔓延到该服务器管理的每一台设备上。

CVE-2026-35616 允许攻击者在企业网络内做什么

FortiClient EMS 的设计初衷是让 IT 管理员能够集中控制整个企业机群的端点安全策略、VPN 配置和软件部署。正是这种管理覆盖范围，使得 CVE-2026-35616 如此危险。

通过利用身份验证绕过漏洞，攻击者能够冒充服务器上的合法管理操作者。从这个位置，他们可以向受管设备推送软件、修改端点配置，并远程执行命令，却不会触发通常会向安全团队告警的标准身份验证检查。在 2026 年 5 月的攻击活动中，攻击者利用这一访问权限，传递了一个伪装成合法 Fortinet 补丁的信息窃取程序。这种社会工程层面，使恶意载荷在自动化防御系统和人工观察者眼中都犹如例行维护。Fortinet 在 2026 年 4 月发布了修复该漏洞的补丁，此前此漏洞已被作为零日漏洞在野外被利用。尚未应用这些补丁的组织仍然暴露在风险之中。

信息窃取程序从企业设备中收集哪些个人和凭据数据

一旦信息窃取程序在端点上运行，其范围就十分广泛。现代信息窃取程序被构建为能够清道夫式地收集存储在本地或流经设备的所有内容：已保存的浏览器凭据、会话 Cookie、自动填充数据、密码管理器存储的密码、VPN 凭据、电子邮件账户令牌，以及与敏感文档模式匹配的文件。

在企业设备上，这造成了一个复合的隐私问题。员工经常使用工作机器来处理模糊个人与职业界限的任务。一个端点被攻陷，就可能同时泄露员工用于企业系统的登录凭据，以及他们碰巧在该设备上访问过的个人账户凭据。会话 Cookie 尤其具有破坏性，因为它们允许攻击者以受害者身份进行认证，而根本不需要密码，在许多情况下绕过了多因素身份认证。

管理层传递机制使情况更糟糕。由于载荷通过受信任的管理通道到达，依赖用户层行为信号的端点检测工具，可能在初始传递阶段无法发现它。

这次攻击在结构上与其他利用受信软件渠道作为传递载体的攻击活动相似。将恶意软件伪装成合法工具的社会工程战术 已成为 2026 年多个威胁集群反复出现的主题，凸显了攻击者如何持续利用看似合法与真正合法之间的差距。

企业级管理工具遭受攻陷为何会规模化危及员工隐私

多数关于数据泄露的讨论都集中在数据库或应用层。FortiClient EMS 攻击活动凸显了一种不同且常被低估的风险：管理基础设施层的攻陷。

当攻击者控制的是管理端点的工具，而非单个端点本身时，爆炸半径会急剧扩大。受到恶意载荷影响的不是一名员工的设备，而是该 EMS 实例下的每一台设备都成了潜在目标。对于大型企业来说，这可能意味着在一次协调推送中，成百上千台机器收到相同的恶意载荷。

这也为员工隐私带来了一个与传统企业数据库泄露截然不同的问题。运行在独立设备上的信息窃取程序，会捕获组织本身可能从未看到或集中存储的数据，包括个人浏览历史、个人账户凭据，以及从未接触过企业服务器的本地保存文件。员工个人对于自己机器上哪些数据被窃取几乎毫无了解，而标准的企业事件响应流程往往围绕集中式数据存储设计，而非分布式的端点数据。

注重隐私的员工和 IT 团队现在应该做什么

对于 IT 和安全团队而言，当务之急是打补丁。Fortinet 于 2026 年 4 月发布了针对 CVE-2026-35616 的修复程序。任何运行 FortiClient EMS 但尚未应用这些紧急修复的组织，都应将其视为紧急事项。各组织还应审计 EMS 的访问日志，查找异常的管理操作，尤其是任何并非由已知管理员发起的软件部署或配置更改。

除了修补，这次攻击活动也是一个有用的契机，促使审查管理基础设施与更广泛网络之间的隔离情况。EMS 服务器不应在没有强访问控制的情况下直接从公共互联网可达，管理接口即使对内部用户，也应要求额外的认证层。

对于个体员工来说，情况更为微妙。你对于受管企业设备上运行的内容几乎看不到，对于雇主是否已应用相关补丁的控制力更小。一些实际步骤可以减少你个人的暴露面：

• 避免在工作设备的浏览器中存储个人账户凭据。 如果信息窃取程序运行，那些保存的密码将是其首先捕获的内容之一。
• 尽可能使用单独的个人设备处理个人账户，让那些流量完全脱离企业管理的架构。
• 考虑在工作设备上使用个人 VPN 处理不属企业业务目的的流量。像这样的管理层攻击瞄准的是管理通道和端点软件；在设备上运行的个人 VPN 为你个人的浏览行为增加了一层加密流量的隐私保护，而通过 EMS 传递的信息窃取活动在 网络层面难以轻易拦截。
• 在你最敏感的个人账户上启用硬件安全密钥或防钓鱼的多因素认证。 即使会话 Cookie 被捕获，受到硬件第二因素保护的账户也更难被访问。

FortiClient EMS 信息窃取企业攻击活动清晰地提醒我们，企业基础设施的沦陷也是个人的隐私事件。修补补丁能关上 CVE-2026-35616 打开的这扇具体大门，但审视自身组织的安全态势，以及你在受管设备上的个人数据卫生习惯，是更持久的应对之策。