Οι επιτιθέμενοι εκμεταλλεύονται τώρα ενεργά μια κρίσιμη ευπάθεια στην πλατφόρμα FortiClient EMS της Fortinet, σύμφωνα με την εταιρεία πληροφοριών απειλών Defused.
Παρακολούθηση ως CVE-2026-21643αυτή η ευπάθεια SQL injection επιτρέπει σε μη επαληθευμένους παράγοντες απειλής να εκτελούν αυθαίρετο κώδικα ή εντολές σε μη επιδιορθωμένα συστήματα μέσω επιθέσεων χαμηλής πολυπλοκότητας που στοχεύουν το FortiClientEMS GUI (διασύνδεση ιστού) μέσω αιτημάτων HTTP που έχουν δημιουργηθεί κακόβουλα.
“Το Fortinet Forticlient EMS CVE-2026-21643 – προς το παρόν έχει επισημανθεί ως μη αξιοποιημένο στις λίστες CISA και άλλων γνωστών εκμεταλλευόμενων ευπαθειών (KEV) – έχει δει την πρώτη εκμετάλλευση ήδη πριν από 4 ημέρες σύμφωνα με τα δεδομένα μας.” Εξουδετέρωση προειδοποίησε το Σαββατοκύριακο.
“Οι εισβολείς μπορούν να μεταφέρουν παράνομα δηλώσεις SQL μέσω της κεφαλίδας “Site” μέσα σε ένα αίτημα HTTP. Σύμφωνα με τον Shodan, σχεδόν 1000 περιπτώσεις Forticlient EMS εκτίθενται δημόσια.”
Η ευπάθεια, που ανακαλύφθηκε εσωτερικά από τον Gwendal Guégniaud της ομάδας Fortinet Product Security, επηρεάζει την έκδοση 7.4.4 του FortiClient EMS και μπορεί να διορθωθεί με αναβάθμιση σε έκδοση 7.4.5 ή νεότερη.
Το Fortinet δεν έχει ακόμη ενημερώσει συμβουλευτική για την ασφάλεια και επισημάνετε την ευπάθεια ως εκμετάλλευση στην άγρια φύση. Η BleepingComputer επικοινώνησε με έναν εκπρόσωπο της Fortinet για να επιβεβαιώσει αναφορές για ενεργή εκμετάλλευση, αλλά δεν υπήρξε άμεση απάντηση.
Η ομάδα εποπτείας ασφάλειας Διαδικτύου Shadowserver είναι αυτή τη στιγμή παρακολουθώντας περισσότερες από 2.000 περιπτώσεις FortiClient EMS με τις διεπαφές ιστού τους εκτεθειμένες στο διαδίκτυο, με περισσότερες από 1.400 IP στις Ηνωμένες Πολιτείες και στην Ευρώπη.
Ένα ξεχωριστό Αναζήτηση Shodan δείχνει περισσότερα από το FortiClient EMS, με τις περισσότερες εκτεθειμένες περιπτώσεις στις Ηνωμένες Πολιτείες.
Τα τρωτά σημεία του Fortinet χρησιμοποιούνται συχνά για την παραβίαση των εταιρικών δικτύων σε επιθέσεις ransomware και εκστρατείες κατασκοπείας στον κυβερνοχώρο (συχνά ως σφάλματα zero-day ενώ οι ενημερώσεις κώδικα εξακολουθούν να εκκρεμούν).
Πιο πρόσφατα, η Fortinet μετριάστηκε τις επιθέσεις μηδενικής ημέρας CVE-2026-24858 αποκλείοντας τις συνδέσεις FortiCloud SSO από συσκευές που εκτελούν ευάλωτες εκδόσεις υλικολογισμικού.
Πριν από δύο χρόνια, τον Μάρτιο του 2024, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) διέταξε τις ομοσπονδιακές υπηρεσίες να επιδιορθώσουν μια άλλη ευπάθεια FortiClient EMS SQL injection που είχε γίνει αντικείμενο εκμετάλλευσης σε επιθέσεις ransomware και από την Salt Typhoon, μια κινεζική κρατική ομάδα hacking, για να παραβιάσει τους παρόχους τηλεπικοινωνιακών υπηρεσιών.
Συνολικά, CISA έχει επισημάνει 24 ευπάθειες Citrix ως ενεργά εκμετάλλευση, 13 από τα οποία χρησιμοποιήθηκαν σε επιθέσεις ransomware.
Η αυτοματοποιημένη διενέργεια δοκιμής αποδεικνύει ότι η διαδρομή υπάρχει. Το BAS αποδεικνύει εάν τα χειριστήρια σας το σταματούν. Οι περισσότερες ομάδες τρέχουν η μία χωρίς την άλλη.
Αυτή η λευκή βίβλος χαρτογραφεί έξι επιφάνειες επικύρωσης, δείχνει πού τελειώνει η κάλυψη και παρέχει στους επαγγελματίες τρεις διαγνωστικές ερωτήσεις για οποιαδήποτε αξιολόγηση εργαλείου.
VIA: bleepingcomputer.com
