脅威インテリジェンス研究者は、Fortinet社のFortiClient Enterprise Management Server(EMS)の重大な脆弱性が積極的に悪用されていることを検知しました。
CVE-2026-21643として識別されたこのセキュリティ上の欠陥は、悪意のある行為者が認可されていないデータベースコマンドを実行することを可能にします。
攻撃が数日間にわたって発生していますが、公式な政府追跡リストはまだこの欠陥を積極的に悪用されているものとして分類しておらず、多くの組織が直近のリスクに気付いていません。
Fortinet FortiClient EMS の脆弱性
この脆弱性は、FortiClient EMS アプリケーションが処理する着信ウェブリクエストの不適切なサニタイゼーションから生じています。
攻撃者はこの弱点を利用して、標準的なHTTPリクエスト内の「Site」ヘッダーを通じて直接悪意のあるSQLステートメントを挿入しています。
脆弱なサーバがこの特別に作られたヘッダーを処理するとき、挿入されたSQLコマンドは基になるデータベースによって実行されます。
このSQLインジェクション技術により、脅威行為者は認証メカニズムをバイパスし、機密の管理データを抽出し、またはより深いシステム侵害を達成する可能性があります。
攻撃は標準的なHTTPヘッダーの操作に依存しているため、悪意のあるトラフィックは正当なエンタープライズ通信と容易に混合できます。
これにより、「Site」ヘッダーの異常を対象とした特定のウェブアプリケーションファイアウォールルールがなければ、ネットワークエッジでの検出がより困難になります。
脅威インテリジェンス企業Defusedが収集したデータによると、CVE-2026-21643の悪用は2026年3月26日頃に始まりました。
このような積極的な標的にもかかわらず、この脆弱性は現在、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の既知の悪用される脆弱性(KEV)カタログに含まれていません。
この矛盾は、パッチ適用および修復サイクルの優先順位付けのために政府リストのみに依存する組織にとって重大な盲点を浮き彫りにしています。
この脆弱性の潜在的な攻撃対象面は大きいです。Shodan検索エンジンを利用したスキャンは、現在約1,000のFortiClient EMSインスタンスがインターネットに直接公開されていることを示しています。
これらのインターネット向けサーバを実行している組織は、ソフトウェアがパッチされないままである場合、直接の侵害リスクにさらされています。
FortiClient EMSを運用するシステム管理者は、すぐにネットワーク構成を確認する必要があります。
主な防御として、組織はこれらの管理サーバを仮想プライベートネットワークまたはセキュアアクセスゲートウェイの背後に配置することによって、直接インターネットへの公開から削除する必要があります。
さらに、セキュリティチームは、履歴または継続中の侵害の試みを特定するために、「Site」ヘッダー内に埋め込まれた異常なSQLシンタックスについてHTTPトラフィックログを綿密に検査する必要があります。
翻訳元: https://gbhackers.com/critical-fortinet-forticlient-ems-vulnerability-2/
