Уязвимость в Fortinet FortiClient EMS активно эксплуатируется злоумышленниками (CVE-2026-21643)
Критическая уязвимость внедрения SQL (CVE-2026-21643) в сервере управления конечными точками Fortinet FortiClient EMS, который управляет агентами FortiClient на различных платформах, активно эксплуатируется злоумышленниками.
Предупреждение поступило от Defused Cyber, компании, помогающей организациям развертывать ловушки и фиктивные активы. Они также используют их для отслеживания реальных атак и предоставления разведывательных данных об угрозах.
«В настоящее время она отмечена как неэксплуатируемая в списках CISA и других реестрах известных эксплуатируемых уязвимостей (KEV), однако, согласно нашим данным, первая эксплуатация [CVE-2026-21643] была зафиксирована уже 4 дня назад», — заявила компания в воскресенье.
Об уязвимости CVE-2026-21643
CVE-2026-21643, обнаруженная внутренними силами Гвендалем Гегньо из команды безопасности продуктов Fortinet, вызвана недостаточной нейтрализацией специальных элементов в SQL-командах.
Удаленные злоумышленники без аутентификации могут воспользоваться ею, отправляя специально сформированные HTTP-запросы к административному интерфейсу FortiClient EMS, доступному из интернета. Это может позволить им выполнять несанкционированный код или команды.
CVE-2026-21643 затрагивает только развертывания под управлением FortiClientEMS v7.4.4. Проблема была устранена в декабре 2026 года в версии 7.4.5.
В начале марта 2026 года исследователи Bishop Fox опубликовали технический анализ уязвимости и указали практические пути её эксплуатации.
«FortiClient EMS поддерживает мультитенантные развертывания ещё до версии 7.4.4, позволяя одному экземпляру управлять несколькими клиентскими сайтами. Версия 7.4.4 провела рефакторинг промежуточного слоя и уровня подключения к базе данных в рамках развития этой функции, что и привело к появлению критического изъяна: HTTP-заголовок, используемый для идентификации клиента, теперь передаётся напрямую в SQL-запрос без санитизации, и это происходит до любой проверки логина», — пояснили они.
«Злоумышленнику, который может получить доступ к веб-интерфейсу EMS по HTTPS, для эксплуатации не нужны учётные данные. Достаточно одного HTTP-запроса со специально созданным значением заголовка, чтобы выполнить произвольный SQL-код в базе данных PostgreSQL. Это даёт атакующим доступ к учётным данным администраторов, инвентаризации конечных точек, политикам безопасности и сертификатам управляемых устройств.»
Обновитесь до исправленной версии
Согласно рекомендациям Fortinet, ветки FortiClientEMS 7.2 и 8.0 не подвержены данной уязвимости.
Специалисты Bishop Fox рекомендуют компаниям, использующим FortiClient EMS 7.4.4 в режиме мультитенантности, немедленно обновиться до версии 7.4.5. «Развёртывания с единым сайтом не подвержены уязвимости», — уточнили они.
По данным Defused Cyber, сервис Shodan показывает почти 1000 публично доступных экземпляров Forticlient EMS. Сколько из них работает на уязвимой версии ПО в режиме мультитенантности, неизвестно.
Fortinet пока не подтвердила факты эксплуатации уязвимости CVE-2026-21643.
Подпишитесь на нашу экстренную e-mail рассылку, чтобы всегда быть в курсе последних утечек данных, уязвимостей и киберугроз. Оформите подписку здесь!