Fortinet 2000臺服務器裸奔

全球超過2000臺Fortinet企業管理系統直接暴露在公網上，其中2個零認證漏洞正在被主動利用。這不是演習——Shadowserver基金會的掃描數據剛出來，美國和德國的企業占了大頭。

FortiClient EMS（企業終端管理系統）本是給企業管VPN客戶端和安全策略的中央控制臺。現在它成了攻擊者的跳板：不需要用戶名，不需要密碼，直接遠程執行代碼。

兩個漏洞，一個剛披露，一個潛伏數周

CVE-2026-35616和CVE-2026-21643，Fortinet官方確認均已被野外利用。前者是新鮮出爐的漏洞，后者在數周前就被安全社區盯上，但直到最近才被標記為"正被利用"狀態。

零認證遠程代碼執行（RCE）在漏洞 severity 等級里屬于頂格危險。攻擊者能直接在服務器上跑任意代碼，拿到系統完全控制權，進而操控這臺服務器管理的所有終端設備。

Shadowserver用全球傳感器網絡掃了一圈，發現約2000個FortiClient EMS實例對公網開放。美國、德國位居前列——這兩個地方恰好也是Fortinet企業客戶最密集的市場。

一臺被攻破的EMS服務器意味著什么？攻擊者可以篡改終端配置、推送惡意策略更新、收割VPN憑證，并在整個企業的終端機群里建立持久化據點。

換句話說，這不是單點失陷，是中央廚房被端了。

Fortinet為何總被盯上

這并非孤立事件。Fortinet產品線頻繁出現在CISA的"已知被利用漏洞目錄"（KEV）中， nation-state 攻擊者和勒索軟件團伙歷來把Fortinet漏洞當作企業內網的初始入口。

原因很現實：Fortinet在全球企業防火墻和VPN市場占率極高，設備暴露面大；其產品常部署在網絡邊界，天然適合作為橫向移動的跳板；企業IT更新固件的節奏普遍滯后，給攻擊者留了窗口期。

Fortinet官方已發布安全通告，敦促客戶立即升級至修補版本。但"立即"二字在大型企業環境里往往是句空話——變更管理流程、業務連續性顧慮、跨時區協調，任何一個環節都能把補丁周期拉長到數周。

問題是，這次沒有緩沖期。漏洞已被確認利用，延遲修復等于主動開門。

企業該做什么，以及為什么難做

技術層面的動作清單很清晰：確認資產清單里有無暴露的FortiClient EMS實例、檢查固件版本是否在受影響范圍、立即應用補丁或至少限制公網訪問、審查近期日志尋找異常策略變更或憑證訪問。

執行層面的阻力同樣真實。很多企業的EMS服務器當初由不同團隊部署，資產臺賬不全；部分實例可能掛在被遺忘的IP段上，連現任安全團隊都不知道存在；VPN管理系統的補丁窗口需要和業務高峰錯開，而全球化企業的"低峰期"幾乎不存在。

Shadowserver的數據是公開的，攻擊者的掃描工具同樣能拿到這份清單。2000個暴露實例不是靜態數字，是實時更新的靶子地圖。

Fortinet在通告里沒提具體攻擊規模，但"confirmed exploited in the wild"的措辭在廠商公告里屬于最高級別警告。這意味著他們要么在遙測數據里看到了主動利用痕跡，要么有客戶已確認受害。

企業安全團隊的困境在于：你永遠不知道自己是已經被攻破的那批，還是即將被攻破的那批。而FortiClient EMS的架構決定了，一旦中央服務器失守，所有終端的信任基礎就崩塌了。

這次事件會推動多少企業重新審視自己的補丁SLA？或者說，在下一個Fortinet漏洞到來之前，有多少能真正關掉公網暴露的管理接口？