Kritikus Fortinet FortiClient EMS sérülékenységet már aktívan kihasználnak.
Egy új, kritikus sérülékenység jelent meg a Fortinet vállalati endpoint menedzsment rendszerében, amelyet már:
⚠️ aktívan kihasználnak valódi támadásokban.
A sérülékenység:
👉 CVE-2026-21643
és a következő rendszert érinti:
FortiClient Endpoint Management Server
Mi a probléma?
A hiba:
⚠️ unauthenticated SQL injection
a FortiClient EMS webes management interfészében.
Ez azt jelenti:
👉 hitelesítés nélkül is támadható.
Miért különösen veszélyes?
Mert:
✅ internet felől elérhető lehet
✅ low complexity exploit
✅ authentication nem kell
✅ RCE-ig eszkalálható
Ez a kombináció enterprise környezetben nagyon kritikus.
Hogyan működik a támadás?
A kutatók szerint a támadók:
👉 speciálisan kialakított HTTP requestet küldenek.
Az érdekes rész:
⚠️ a támadás a HTTP “Site” headeren keresztül történik.
Ebbe SQL parancsokat lehet „becsempészni”.
Mi történhet sikeres exploit után?
A támadó:
- jogosulatlan hozzáférést szerezhet
- SQL parancsokat futtathat
- backend rendszereket manipulálhat
- távoli kódfuttatást érhet el
- laterális mozgást indíthat
Már aktívan exploitálják
A Defused szerint:
⚠️ néhány nappal a disclosure után már megjelentek exploit próbálkozások.
Ez különösen veszélyes, mert:
❌ még nem is szerepelt hivatalos KEV listákon.
Több ezer EMS rendszer interneten elérhető
A Shadowserver Foundation szerint:
⚠️ több mint 2000 FortiClient EMS instance publikus.
Főleg:
- USA
- Európa
területén.
Ez automatizált exploit kampányokat nagyon valószínűvé tesz.
Érintett verzió
⚠️ Vulnerable:
- FortiClient EMS 7.4.4
Javított verzió
✅ Safe:
- 7.4.5+
- újabb verziók
Miért célpont a Fortinet?
A Fortinet termékei:
👉 gyakran a hálózat peremén helyezkednek el.
Ezért ideális célpontok:
- ransomware csoportoknak
- APT-knek
- state-sponsored támadóknak
Korábbi trend
A Fortinet hibákat rendszeresen használták:
- ransomware kampányokban
- telecom támadásokban
- state espionage műveletekben
A Cybersecurity and Infrastructure Security Agency már:
⚠️ 24 Fortinet sérülékenységet vett fel KEV listára.
Mit kell MOST tenni?
🔴 Azonnali frissítés
Upgrade:
👉 7.4.5 vagy újabb verzióra.
🔴 EMS web interface levétele internet felől
Nagyon fontos.
Az EMS management felület:
❌ ne legyen public interneten.
🔴 Log ellenőrzés
Keresni:
- furcsa HTTP requesteket
- header manipulationt
- szokatlan Site header értékeket
- SQL errorokat
🔴 Network segmentation
Az EMS rendszer:
✅ külön szegmensbe kerüljön.
🔴 Threat hunting
Érdemes keresni:
- ismeretlen admin accountokat
- lateral movement jeleket
- PowerShell activityt
- új service-eket
- credential dumping nyomokat
Miért nagy probléma az EMS kompromittálás?
Mert az EMS:
👉 endpoint security menedzsment rendszer.
Ez gyakran hozzáfér:
- endpoint policykhez
- security konfigurációkhoz
- user információkhoz
- vállalati device inventoryhoz
Egy kompromittált EMS:
⚠️ teljes enterprise pivot pont lehet.
Nagyobb trend
Ez ismét jól mutatja:
👉 edge és management rendszerek egyre fontosabb támadási célpontok.
Különösen:
- VPN-ek
- firewallok
- endpoint management
- identity rendszerek
- remote admin platformok
ellen nő az aktivitás.
Összegzés
A CVE-2026-21643:
⚠️ kritikus Fortinet EMS SQL injection
⚠️ authentication nélküli exploit
⚠️ aktívan kihasználják
⚠️ több ezer rendszer lehet publikus
⚠️ RCE és enterprise kompromittálás lehetséges
A javítás sürgős.
