Fortinet 2000台服务器裸奔

全球超过2000台Fortinet企业管理系统直接暴露在公网上，其中2个零认证漏洞正在被主动利用。这不是演习——Shadowserver基金会的扫描数据刚出来，美国和德国的企业占了大头。

FortiClient EMS（企业终端管理系统）本是给企业管VPN客户端和安全策略的中央控制台。现在它成了攻击者的跳板：不需要用户名，不需要密码，直接远程执行代码。

两个漏洞，一个刚披露，一个潜伏数周

CVE-2026-35616和CVE-2026-21643，Fortinet官方确认均已被野外利用。前者是新鲜出炉的漏洞，后者在数周前就被安全社区盯上，但直到最近才被标记为"正被利用"状态。

零认证远程代码执行（RCE）在漏洞 severity 等级里属于顶格危险。攻击者能直接在服务器上跑任意代码，拿到系统完全控制权，进而操控这台服务器管理的所有终端设备。

Shadowserver用全球传感器网络扫了一圈，发现约2000个FortiClient EMS实例对公网开放。美国、德国位居前列——这两个地方恰好也是Fortinet企业客户最密集的市场。

一台被攻破的EMS服务器意味着什么？攻击者可以篡改终端配置、推送恶意策略更新、收割VPN凭证，并在整个企业的终端机群里建立持久化据点。

换句话说，这不是单点失陷，是中央厨房被端了。

Fortinet为何总被盯上

这并非孤立事件。Fortinet产品线频繁出现在CISA的"已知被利用漏洞目录"（KEV）中， nation-state 攻击者和勒索软件团伙历来把Fortinet漏洞当作企业内网的初始入口。

原因很现实：Fortinet在全球企业防火墙和VPN市场占率极高，设备暴露面大；其产品常部署在网络边界，天然适合作为横向移动的跳板；企业IT更新固件的节奏普遍滞后，给攻击者留了窗口期。

Fortinet官方已发布安全通告，敦促客户立即升级至修补版本。但"立即"二字在大型企业环境里往往是句空话——变更管理流程、业务连续性顾虑、跨时区协调，任何一个环节都能把补丁周期拉长到数周。

问题是，这次没有缓冲期。漏洞已被确认利用，延迟修复等于主动开门。

企业该做什么，以及为什么难做

技术层面的动作清单很清晰：确认资产清单里有无暴露的FortiClient EMS实例、检查固件版本是否在受影响范围、立即应用补丁或至少限制公网访问、审查近期日志寻找异常策略变更或凭证访问。

执行层面的阻力同样真实。很多企业的EMS服务器当初由不同团队部署，资产台账不全；部分实例可能挂在被遗忘的IP段上，连现任安全团队都不知道存在；VPN管理系统的补丁窗口需要和业务高峰错开，而全球化企业的"低峰期"几乎不存在。

Shadowserver的数据是公开的，攻击者的扫描工具同样能拿到这份清单。2000个暴露实例不是静态数字，是实时更新的靶子地图。

Fortinet在通告里没提具体攻击规模，但"confirmed exploited in the wild"的措辞在厂商公告里属于最高级别警告。这意味着他们要么在遥测数据里看到了主动利用痕迹，要么有客户已确认受害。

企业安全团队的困境在于：你永远不知道自己是已经被攻破的那批，还是即将被攻破的那批。而FortiClient EMS的架构决定了，一旦中央服务器失守，所有终端的信任基础就崩塌了。

这次事件会推动多少企业重新审视自己的补丁SLA？或者说，在下一个Fortinet漏洞到来之前，有多少能真正关掉公网暴露的管理接口？