Критическая уязвимость Fortinet FortiClient EMS уже используется в атаках

Атакующие начали активно эксплуатировать критическую уязвимость CVE-2026-21643 в платформе FortiClient EMS, сообщает компания Defused.

Речь идет о SQL-инъекции, которая позволяет неаутентифицированным злоумышленникам выполнять произвольный код на уязвимых системах через веб-интерфейс.

Атака реализуется через отправку специально сформированных HTTP-запросов. Злоумышленники внедряют SQL-код через заголовок “Site”, обходя защиту системы.

По данным исследователей, первые случаи эксплуатации были зафиксированы всего несколько дней назад, несмотря на то что уязвимость пока не отмечена как активно используемая в списках CISA KEV.

Масштаб проблемы

В интернете остаётся большое количество уязвимых систем:

около 1000 публично доступных инстансов по данным Shodan
более 2000 систем с открытым веб-интерфейсом по данным Shadowserver
более 1400 IP находятся в США и Европе

Это делает уязвимость особенно привлекательной для массовых атак.

Затронутые версии и патч

Уязвимость обнаружена во внутреннем аудите Fortinet и затрагивает версию FortiClient EMS 7.4.4.

Для защиты необходимо обновление до версии 7.4.5 и выше.

На момент публикации Fortinet ещё не подтвердила официально факт эксплуатации уязвимости «в дикой природе».

Контекст

Уязвимости Fortinet регулярно используются в атаках на корпоративные сети, включая ransomware и кибершпионаж.

Ранее, в 2024 году, CISA требовала срочно закрыть аналогичную SQL-инъекцию в FortiClient EMS, которая уже использовалась в атаках, в том числе группировкой Salt Typhoon.

Всего CISA отметила 24 уязвимости Fortinet как активно эксплуатируемые, из них 13 применялись в атаках с использованием ransomware.