Специалисты по кибербезопасности обратились с экстренным предупреждением к организациям, использующим сервер централизованного управления FortiClient Enterprise Management Server (EMS) от компании Fortinet. По данным исследователей, более двух тысяч экземпляров этого критически важного административного инструмента в настоящее время доступны из публичной сети интернет, что делает их легкой мишенью для злоумышленников. Угроза усугубляется активной эксплуатацией двух серьёзных уязвимостей, позволяющих получить полный контроль над системами.
Детали уязвимостей
Проблемы безопасности отслеживаются под идентификаторами CVE-2026-35616, недавно обнаруженная угроза, и CVE-2026-21643. Обе классифицируются как уязвимости для выполнения несанкционированного кода (RCE) без аутентификации. Проще говоря, для успешной атаки злоумышленнику не требуется украсть учетные данные или подобрать пароль. Достаточно отправить специально сформированный запрос по интернету на уязвимый сервер FortiClient EMS, чтобы выполнить вредоносные команды и полностью захватить управление базовой операционной системой.
Недавние наблюдения фонда Shadowserver Foundation, ведущей некоммерческой группы исследователей безопасности, подтвердили активную эксплуатацию этих критических недостатков в реальных условиях. Согласно данным их публичной панели мониторинга (дашборда), тысячи организаций по ошибке оставили свои серверы FortiClient EMS напрямую доступными извне. Результаты сканирования интернета показывают, что глобально под угрозой находится примерно 2000 видимых серверов. Географически проблема носит повсеместный характер, однако наибольшая концентрация уязвимых экземпляров зафиксирована в США и Германии.
Само по себе вынесение центрального сервера управления в публичный сегмент интернета является рискованной практикой. Однако в условиях активного распространения эксплойтов, использующих критические уязвимости, такая конфигурация создает чрезвычайную ситуацию для ИТ-команд. FortiClient EMS - это централизованный инструмент, предназначенный для управления безопасностью конечных точек во всей корпоративной сети. ИТ-администраторы используют его для настройки антивирусного ПО, правил веб-фильтрации и политик безопасного удаленного доступа для устройств сотрудников.
В случае компрометации сервера EMS киберпреступники получают мощный и, что критически важно, доверенный плацдарм для проникновения в корпоративную среду. Злоумышленники могут злоупотребить централизованными функциями управления для распространения вредоносного ПО, отключения средств защиты на ноутбуках пользователей или развертывания разрушительных программ-вымогателей по всей организации. Поскольку устройства сотрудников по умолчанию доверяют инструкциям, поступающим с сервера EMS, такие вредоносные команды часто выполняются, не вызывая типичных сигналов тревоги систем безопасности.
Последствия подобного взлома могут быть катастрофическими. Получив контроль над системой управления, атакующие фактически получают ключи от цифрового королевства. Они могут не только похитить конфиденциальные данные, но и парализовать работу всей организации, организовав масштабную кибератаку изнутри. Между тем, время на реакцию ограничено, учитывая, что эксплойты уже находятся в активном использовании.
Организациям, использующим FortiClient EMS, необходимо действовать быстро, чтобы обезопасить свою инфраструктуру до того, как злоумышленники обнаружат их открытые системы. Наиболее критичным шагом является применение последних обновлений безопасности, предоставленных Fortinet, для устранения угроз, связанных с CVE-2026-35616 и CVE-2026-21643. Кроме того, ИТ-администраторам следует немедленно пересмотреть конфигурацию межсетевых экранов и сетевые настройки. Интерфейсы управления FortiClient EMS никогда не должны быть напрямую доступны из публичного интернета. Доступ к ним должен быть строго изолирован в доверенных внутренних сетях или защищен с помощью правильно настроенной виртуальной частной сети (VPN). Своевременное выполнение этих мер не только закрывает конкретные уязвимости, но и значительно повышает общую устойчивость инфраструктуры к подобным целевым атакам.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-35616
- https://www.cve.org/CVERecord?id=CVE-2026-21643
- https://fortiguard.fortinet.com/psirt/FG-IR-26-099
- https://fortiguard.fortinet.com/psirt/FG-IR-25-1142
- https://x.com/Shadowserver/status/2040845567882928304
