Święta, święta i po świętach. I dzisiaj, zamiast malować pisanki, piszemy o Fortinecie. Naszym „ulubionym” producencie firewallów, który pojawia się na portalu dość często. Nową okazję do publikacji dała nam Defused Cyber – firma zajmująca się cyberwywiadem, która ostrzega w swoich publikacjach, iż hakerzy zaczęli wykorzystywać podatność o krytycznym poziomie zagrożenia w Fortinet FortiClient EMS.
Czym jest FortiClient EMS?
FortiClient EMS to scentralizowany serwer zarządzania umożliwiający organizacjom wdrażanie, konfigurowanie i monitorowanie endpointów FortiClient w swoich środowiskach. Obsługuje również wdrożenia wielodzierżawne (multi-tenant), pozwalając na zarządzanie wieloma środowiskami klientów z jednej instancji.
Oznaczona jako CVE-2026-21643 luka jest opisywana jako podatność typu SQL injection, którą można wykorzystać zdalnie, bez uwierzytelnienia, dzięki specjalnie spreparowanych żądań HTTP.
W komunikacie Fortinet wskazuje, iż skuteczne wykorzystanie luki może prowadzić do wykonania dowolnego kodu lub poleceń.
Podatność dotyczy FortiClient EMS w wersji 7.4.4. Została załatana na początku lutego w wersji 7.4.5. Według Fortinet luka była odkryta wewnętrznie. Miesiąc po jej publicznym ujawnieniu firma cybersecurity Bishop Fox opublikowała szczegóły techniczne, ostrzegając, iż podatność jest łatwa do wykorzystania w praktyce.
„Nasza analiza pokazuje, iż atakujący mogą eksploatować publicznie dostępny endpoint /api/v1/init_consts do przeprowadzenia ataku SQL injection przed uwierzytelnieniem. Ponieważ endpoint ten zwraca komunikaty błędów bazy danych i nie posiada mechanizmów blokowania, atakujący mogą gwałtownie wyciągać wrażliwe dane z podatnych wielodzierżawnych wdrożeń FortiClient EMS 7.4.4” – ostrzegł Bishop Fox.
Na czym polega atak?
Jak wyjaśniła firma, problem pojawił się w wersji 7.4.4 wraz z przeprojektowaniem warstwy middleware i mechanizmu połączenia z bazą danych, co spowodowało, iż nagłówki identyfikacyjne HTTP były przekazywane do zapytań bazodanowych bez odpowiedniej sanityzacji – jeszcze przed uwierzytelnieniem. Sanityzacja danych to proces oczyszczania danych wejściowych z potencjalnie niebezpiecznych znaków, elementów (np. tagów HTML, składni SQL) lub innych nieprawidłowości, mający na celu zapobieganie atakom – takim jak XSS czy SQL Injection.
Brak opisywanego wyżej procesu umożliwia atakującemu wykonywanie dowolnych zapytań SQL na bazie danych oraz uzyskanie dostępu do danych administratorów, listy endpointów, polityk bezpieczeństwa i certyfikatów.
Kod proof-of-concept (PoC) umożliwiający wykorzystanie tej podatności został opublikowany do wglądu dla wszystkich.
Jaka jest skala podatności?
Defused ostrzegło, iż CVE-2026-21643 było wykorzystywane przez co najmniej cztery dni, a także iż około 1000 wdrożeń FortiClient EMS jest wystawionych do Internetu. Na dzień 30 marca Shadowserver Foundation śledzi ponad 2000 dostępnych z Internetu instancji.
Nie wiadomo, ile z tych systemów pozostaje podatnych, a Fortinet nie zaktualizował jeszcze swojego komunikatu, aby oznaczyć tę lukę jako aktywnie wykorzystywaną.
