全球超过2000台Fortinet企业管理系统直接暴露在公网上,其中2个零认证漏洞正在被主动利用。这不是演习——Shadowserver基金会的扫描数据刚出来,美国和德国的企业占了大头。
FortiClient EMS(企业终端管理系统)本是给企业管VPN客户端和安全策略的中央控制台。现在它成了攻击者的跳板:不需要用户名,不需要密码,直接远程执行代码。
两个漏洞,一个刚披露,一个潜伏数周
CVE-2026-35616和CVE-2026-21643,Fortinet官方确认均已被野外利用。前者是新鲜出炉的漏洞,后者在数周前就被安全社区盯上,但直到最近才被标记为"正被利用"状态。
零认证远程代码执行(RCE)在漏洞 severity 等级里属于顶格危险。攻击者能直接在服务器上跑任意代码,拿到系统完全控制权,进而操控这台服务器管理的所有终端设备。
Shadowserver用全球传感器网络扫了一圈,发现约2000个FortiClient EMS实例对公网开放。美国、德国位居前列——这两个地方恰好也是Fortinet企业客户最密集的市场。
一台被攻破的EMS服务器意味着什么?攻击者可以篡改终端配置、推送恶意策略更新、收割VPN凭证,并在整个企业的终端机群里建立持久化据点。
换句话说,这不是单点失陷,是中央厨房被端了。
Fortinet为何总被盯上
这并非孤立事件。Fortinet产品线频繁出现在CISA的"已知被利用漏洞目录"(KEV)中, nation-state 攻击者和勒索软件团伙历来把Fortinet漏洞当作企业内网的初始入口。
原因很现实:Fortinet在全球企业防火墙和VPN市场占率极高,设备暴露面大;其产品常部署在网络边界,天然适合作为横向移动的跳板;企业IT更新固件的节奏普遍滞后,给攻击者留了窗口期。
Fortinet官方已发布安全通告,敦促客户立即升级至修补版本。但"立即"二字在大型企业环境里往往是句空话——变更管理流程、业务连续性顾虑、跨时区协调,任何一个环节都能把补丁周期拉长到数周。
问题是,这次没有缓冲期。漏洞已被确认利用,延迟修复等于主动开门。
企业该做什么,以及为什么难做
技术层面的动作清单很清晰:确认资产清单里有无暴露的FortiClient EMS实例、检查固件版本是否在受影响范围、立即应用补丁或至少限制公网访问、审查近期日志寻找异常策略变更或凭证访问。
执行层面的阻力同样真实。很多企业的EMS服务器当初由不同团队部署,资产台账不全;部分实例可能挂在被遗忘的IP段上,连现任安全团队都不知道存在;VPN管理系统的补丁窗口需要和业务高峰错开,而全球化企业的"低峰期"几乎不存在。
Shadowserver的数据是公开的,攻击者的扫描工具同样能拿到这份清单。2000个暴露实例不是静态数字,是实时更新的靶子地图。
Fortinet在通告里没提具体攻击规模,但"confirmed exploited in the wild"的措辞在厂商公告里属于最高级别警告。这意味着他们要么在遥测数据里看到了主动利用痕迹,要么有客户已确认受害。
企业安全团队的困境在于:你永远不知道自己是已经被攻破的那批,还是即将被攻破的那批。而FortiClient EMS的架构决定了,一旦中央服务器失守,所有终端的信任基础就崩塌了。
这次事件会推动多少企业重新审视自己的补丁SLA?或者说,在下一个Fortinet漏洞到来之前,有多少能真正关掉公网暴露的管理接口?
热门跟贴