Обнаружена критическая уязвимость SQL-инъекции (CVE-2026-21643) в сервере управления Fortinet EMS, позволяющая неаутентифицированным злоумышленникам выполнять произвольный код. Это седьмая SQL-уязвимость Fortinet за год, что вызывает серьезную озабоченность. — csoonline.com
Обнаружена еще одна критическая уязвимость в продукте Fortinet на фоне продолжающихся атак на компанию: на этот раз злоумышленники активно используют критическую уязвимость SQL-инъекции в сервере управления этой компании, занимающейся кибербезопасностью.
Уязвимость (CVE-2026-21643) позволяет неаутентифицированным злоумышленникам выполнять произвольный код на необновленных системах посредством специально сформированных HTTP-запросов. Эти несложные атаки нацелены на FortiClient Endpoint Management Server (EMS) — широко используемый инструмент кибербезопасности.
По данным исследования компании по краснокомандному тестированию Defused Cyber, уязвимость CVE использовалась всего четыре дня назад, что отражает тревожную тенденцию для гиганта в сфере кибербезопасности, обслуживающего более 900 000 клиентов.
«Это седьмая CVE типа SQL у Fortinet за последние 12 месяцев, и, откровенно говоря, семь — это слишком много», — заявил Дэвид Шипли из Beauceron Security.
Предоставляет широкий доступ к конфиденциальным данным
FortiClient EMS обеспечивает централизованное управление, развертывание и мониторинг агентов конечных точек FortiClient на множестве платформ. CVE-2026-21643 была обнаружена внутри команды безопасности Fortinet и опубликована 6 февраля. Она затрагивает версию FortiClient EMS 7.4.4 при включенном режиме многопользовательской работы (multi-tenant mode). Развертывания в режиме одного сайта не затрагиваются. Эксперты по безопасности предупреждают, что предприятиям следует немедленно установить исправления, обновившись до версии 7.4.5 или более поздней.
На момент публикации Fortinet еще не обновила свое уведомление о безопасности, чтобы отметить активную эксплуатацию CVE.
Уязвимость описывается как «ненадлежащая нейтрализация специальных элементов», используемых в уязвимости SQL-команды. Это означает, что одного HTTP-запроса с измененным значением заголовка достаточно для выполнения произвольного SQL-кода в базовой базе данных PostgreSQL, согласно подробному отчету компании по пентестингу Bishop Fox. Злоумышленнику, имеющему доступ к веб-интерфейсу EMS через HTTPS, «не нужны учетные данные для эксплуатации этой уязвимости», говорится в отчете.
«Это дает злоумышленникам доступ к учетным данным администратора, данным инвентаризации конечных точек, политикам безопасности и сертификатам управляемых конечных точек», — пишут исследователи. Они отметили, что конечная точка возвращает сообщения об ошибках базы данных и не имеет защиты от блокировки, что позволяет злоумышленникам быстро извлекать конфиденциальные данные.
Фонд Shadowserver Foundation, некоммерческая организация по надзору за безопасностью, в настоящее время отслеживает более 2400 экземпляров FortiClient EMS с веб-интерфейсами, открытыми в интернет, большинство из которых находятся в США и Европе. А Shodan, поисковая система для устройств, подключенных к интернету, сообщила о 1000 общедоступных экземпляров FortiClient EMS.
SQL-инъекция — главная проблема безопасности приложений
Шипли из Beauceron подчеркнул опасность SQL-инъекций, отметив, что эта уязвимость была первой в списке 10 главных рисков безопасности приложений OWASP, когда открытый фонд был запущен более 20 лет назад. Этот тип атаки оставался на первом месте большую часть этого времени «по уважительной причине».
«Вы не хотите, чтобы подобные ошибки приводили к удаленному выполнению кода, [но] в многосайтовых конфигурациях этого сервиса именно это и можно получить», — сказал Шипли.
Виктор Окори, консультативный директор по практике безопасности и конфиденциальности в Info-Tech Research Group, согласился с оценкой Шипли о том, что уязвимости SQL-инъекции особенно опасны.
Он отметил, что большинство существующих средств контроля не обнаруживают подобные недостатки, что позволяет похищать учетные данные, обеспечивает боковое перемещение благодаря «неявной доверенности» EMS и позволяет манипулировать конфиденциальными данными и извлекать их. Злоумышленники могут выполнять несанкционированные команды и полностью обходить аутентификацию, «что делает проникновение очень простым».
«Сценарий действий злоумышленника состоит из трех этапов: «проникнуть», «захватить контроль» и «получить выгоду», и об этом следует всегда помнить при анализе уязвимостей, эксплуатируемых в реальных условиях», — сказал Окори.
Подчеркивает важность нулевого доверия
В последнее время Fortinet стала главной мишенью для злоумышленников: они использовали ИИ для эксплуатации слабо защищенных межсетевых экранов, запускали атаки нулевого дня против устройств клиентов и похищали учетные данные межсетевых экранов FortiGate. Компания также подверглась критике за «тихое» исправление после раскрытия уязвимостей нулевого дня в некотором своем оборудовании.
В общей сложности Агентство по кибербезопасности и защите инфраструктуры США (CISA) перечисляет 24 уязвимости Fortinet, которые активно эксплуатируются.
Окори отметил, что это подчеркивает важность архитектуры нулевого доверия. Он посоветовал организациям проверить, доступен ли их EMS из интернета; если да, его следует убрать из прямой экспозиции в интернет и разместить за защищенным шлюзом доступа. Предприятиям также следует проверять журналы HTTP-трафика на наличие аномального синтаксиса SQL, внедренного в заголовок «Site».
«Старым собакам не нужны новые трюки, и это применимо и здесь», — сказал Окори. Поскольку уязвимости Fortinet использовались в кампаниях по распространению программ-вымогателей, у злоумышленников «есть чувство знакомства», и они продолжают находить и эксплуатировать слабые места.
Fortinet должна быть «более проактивной»
«У Fortinet, похоже, есть проблема с устранением целых классов ошибок», — добавил Шипли из Beauceron. Они, кажется, продолжают играть в «ударь крота», исправляя непосредственную проблему, но не тратя время на глубокий анализ кодовых баз для обнаружения того же ошибочного кода в других местах.
«Злоумышленники, с другой стороны, чуют кровь», — отметил он. Как только они обнаруживают повторение подобной ошибки, они совершенствуют свои хакерские попытки, чтобы найти больше ее экземпляров.
Поскольку инструменты ИИ ускоряют работу злоумышленников, Шипли считает, что Fortinet должна быть более проактивной в поиске ошибок. Однако он заметил, что выручка компании продолжила расти в 2025 году более чем на 14% на более чем 14%, «так что рынок не подает сильного сигнала о том, что им следует больше заботиться об этом».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Taryn Plumb