Μια κρίσιμη ευπάθεια SQL injection στον διακομιστή FortiClient Endpoint Management (EMS) της Fortinet, που παρακολουθείται ως CVE-2026-21643, χρησιμοποιείται ενεργά στην άγρια φύση.
Οι φορείς απειλών χρησιμοποιούν αυτό το ελάττωμα σε επιθέσεις που ξεκίνησαν πριν από τέσσερις ημέρες, παρά το γεγονός ότι δεν εμφανίζεται ακόμη στον κατάλογο γνωστών εκμεταλλευόμενων ευπαθειών της CISA.
Το ελάττωμα ασφαλείας επηρεάζει την έκδοση 7.4.4 του FortiClient EMS, αφήνοντας τα συστήματα ευάλωτα σε μη εξουσιοδοτημένες απομακρυσμένες εντολές.
Η Fortinet έχει αποδώσει σε αυτό το ζήτημα μια κρίσιμη βαθμολογία CVSS 9,1, που αντικατοπτρίζει τον σοβαρό πιθανό αντίκτυπό του σε εταιρικά περιβάλλοντα. Οι δομημένες λεπτομέρειες της ευπάθειας περιγράφονται παρακάτω για να βοηθήσουν τις ομάδες ασφαλείας με ταχεία ταξινόμηση απειλών.
Εκμετάλλευση ευπάθειας FortiClient EMS
Η πρόσφατη τηλεμετρία του Defused Cyber επιβεβαιώνει ότι οι εκστρατείες εκμετάλλευσης που στοχεύουν διακομιστές που έχουν πρόσβαση στο Διαδίκτυο έχουν ξεκινήσει με επιτυχία.
Σύμφωνα με τα δεδομένα του Shodan, σχεδόν 1.000 περιπτώσεις FortiClient EMS εκτίθενται επί του παρόντος δημόσια, παρέχοντας μια σημαντική επιφάνεια επίθεσης για τους παράγοντες απειλής.
Στις παρατηρούμενες επιθέσεις, οι παράγοντες απειλών παρακάμπτουν τους ελέγχους ασφαλείας μεταφέροντας παράνομα κακόβουλες δηλώσεις SQL μέσω του Site κεφαλίδα σε ένα αίτημα HTTP GET.
Ένα καταγεγραμμένο ωφέλιμο φορτίο που στοχεύει το /api/v1/init_consts Το τελικό σημείο δείχνει τους εισβολείς να εισάγουν εντολές όπως π.χ Site: x'; SELECT pg_sleep(4)--. Αυτή η συγκεκριμένη επίθεση παρατηρήθηκε προερχόμενη από τη διεύθυνση IP του δράστη απειλής 104.192.92.135.
Ανακαλύφθηκε εσωτερικά από τον Gwendal Guégniaud της ομάδας Ασφάλειας Προϊόντων της Fortinet, το ελάττωμα αποκαλύφθηκε επίσημα στις 6 Φεβρουαρίου 2026.
Η ευπάθεια προέρχεται από την ακατάλληλη εξουδετέρωση ειδικών στοιχείων εντός των εντολών SQL στη διοικητική διεπαφή ιστού FortiClient EMS. Επειδή το λογισμικό αποτυγχάνει να εξυγιάνει σωστά την είσοδο που παρέχεται από τον χρήστη, οι εισβολείς που δεν έχουν επικυρωθεί μπορούν να εκτελέσουν εξ αποστάσεως αυθαίρετο κώδικα.
Οι μη επαληθευμένοι εισβολείς μπορούν να εκμεταλλευτούν αυτό το ελάττωμα χωρίς έγκυρα διαπιστευτήρια, επιτρέποντάς τους να θέσουν σε πλήρη κίνδυνο τους ευάλωτους διακομιστές διαχείρισης τελικών σημείων.
Η επιτυχής εκμετάλλευση επιτρέπει στους παράγοντες απειλών να κλέψουν ευαίσθητα εταιρικά δεδομένα, να αναπτύξουν δευτερεύοντα ωφέλιμα φορτία κακόβουλου λογισμικού ή να μετακινηθούν πλευρικά στο εσωτερικό δίκτυο. Η έλλειψη απαιτήσεων ελέγχου ταυτότητας το καθιστά έναν εξαιρετικά ελκυστικό στόχο για τους μεσίτες αρχικής πρόσβασης και τις θυγατρικές ransomware.
Οι ομάδες ασφαλείας πρέπει να παρακολουθούν ενεργά τα αρχεία καταγραφής κυκλοφορίας του δικτύου τους για ανώμαλα αιτήματα HTTP GET που απευθύνονται στη διαχειριστική διεπαφή.
Οι υπερασπιστές θα πρέπει να αναζητούν ειδικά απροσδόκητους χαρακτήρες ή εντολές SQL που εισάγονται στο Site κεφαλίδα, ιδιαίτερα επιχειρεί να εκτελέσει συναρτήσεις έγχυσης SQL με βάση το χρόνο. Ο εντοπισμός αυτών των συγκεκριμένων δεικτών συμβιβασμού είναι ζωτικής σημασίας για τον εντοπισμό προσπαθειών μη εξουσιοδοτημένης πρόσβασης πριν από την πλήρη εκμετάλλευση.
Οι διαχειριστές του συστήματος θα πρέπει να καταγράφουν γρήγορα την εξωτερική επιφάνεια επίθεσης τους για να εντοπίσουν τυχόν εκτεθειμένες στο κοινό αναπτύξεις που εκτελούν την έκδοση 7.4.4. Η αναβάθμιση στην έκδοση 7.4.5 είναι ο μόνος οριστικός μετριασμός και οι οργανισμοί θα πρέπει να δώσουν προτεραιότητα σε αυτήν την ενημέρωση εντός των κύκλων διαχείρισης ενημερώσεων κώδικα έκτακτης ανάγκης. Οι εκδόσεις FortiClient EMS 7.2, 8.0 και τα περιβάλλοντα FortiEMS Cloud παραμένουν εντελώς ανεπηρέαστα από αυτό το ελάττωμα ασφαλείας.
