Компания Defused сообщает об активной эксплуатации критической уязвимости SQL-инъекции (CVE-2026-21643) в FortiClient EMS, позволяющей неаутентифицированным злоумышленникам выполнять команды. В сети обнаружены тысячи уязвимых экземпляров. — bleepingcomputer.com
По данным компании по анализу угроз Defused, злоумышленники в настоящее время активно используют критическую уязвимость в платформе FortiClient EMS от Fortinet.
Эта уязвимость типа SQL-инъекция, отслеживаемая как CVE-2026-21643, позволяет неаутентифицированным злоумышленникам выполнять произвольный код или команды на необновленных системах с помощью атак низкой сложности, нацеленных на графический интерфейс FortiClient EMS (веб-интерфейс) посредством специально сформированных HTTP-запросов.
“Fortinet Forticlient EMS CVE-2026-21643 — в настоящее время не отмеченная как эксплуатируемая в списках CISA и других известных эксплуатируемых уязвимостей (KEV) — по нашим данным, впервые была использована уже 4 дня назад”, — предупредила Defused на выходных.
“Злоумышленники могут внедрять SQL-операторы через заголовок ‘Site’ внутри HTTP-запроса. По данным Shodan, в публичном доступе находится около 1000 экземпляров Forticlient EMS”.
Уязвимость, обнаруженная внутри команды Fortinet Product Security Гвендалем Генио (Gwendal Guégniaud), затрагивает версию FortiClient EMS 7.4.4 и может быть устранена обновлением до версии 7.4.5 или более поздней.
Fortinet еще не обновила свое уведомление о безопасности и не пометила уязвимость как эксплуатируемую в реальных условиях. BleepingComputer обратилась к представителю Fortinet для подтверждения сообщений об активной эксплуатации, но немедленный ответ получен не был.
Группа интернет-наблюдения за безопасностью Shadowserver в настоящее время отслеживает более 2000 экземпляров FortiClient EMS с открытыми в сети веб-интерфейсами, причем более 1400 IP-адресов находятся в США и Европе.
Отдельный поиск Shodan показывает более [количество] FortiClient EMS, причем большинство открытых экземпляров находятся в США.
Уязвимости Fortinet часто используются для взлома корпоративных сетей в атаках программ-вымогателей и кампаниях кибершпионажа (часто как уязвимости нулевого дня, пока патчи еще не выпущены).
Совсем недавно Fortinet смягчила последствия атак на уязвимость нулевого дня CVE-2026-24858, заблокировав подключения FortiCloud SSO с устройств, работающих на уязвимых версиях прошивки.
Два года назад, в марте 2024 года, Агентство по кибербезопасности и защите инфраструктуры США (CISA) предписало федеральным агентствам установить исправления для другой уязвимости SQL-инъекции в FortiClient EMS, которая эксплуатировалась в атаках программ-вымогателей и группой государственных хакеров Китая Salt Typhoon для взлома операторов телекоммуникационных услуг.
В общей сложности CISA отметила 24 уязвимости Citrix как активно эксплуатируемые, 13 из которых использовались в атаках программ-вымогателей.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan