Fortinet が別の悪用されたサイバーセキュリティの欠陥に見舞われた

Fortinet 製品のもう一つの致命的な欠陥が明らかになりました。攻撃者が引き続き同社をターゲットにしており、今回はサイバーセキュリティ企業の管理サーバー内の重大な SQL インジェクション脆弱性を積極的に悪用しています。

この脆弱性 (CVE-2026-21643) により、認証されていない脅威アクターが特別に細工された HTTP リクエストを介して、パッチが適用されていないシステム上で任意のコードを実行できます。これらの低複雑度の攻撃は、広く使用されているサイバーセキュリティツールである FortiClient エンドポイント管理サーバー (EMS) をターゲットにしています。 

Red-teaming 企業 Defused Cyber の調査によると、この CVE は 4 日前までも悪用されており、90 万人以上の顧客にサービスを提供しているサイバーセキュリティ大手にとって懸念される傾向を示しています。

「過去 12 か月間でこれは Fortinet の 7 番目の SQL CVE であり、率直に言って 7 つは多すぎます」と、David Shipley 氏 (Beauceron Security) は述べています。

機密データへの広範なアクセスを提供

FortiClient EMS は、複数のプラットフォーム全体で FortiClient エンドポイントエージェントの集中管理、デプロイメント、監視を提供します。CVE-2026-21643 は Fortinet のセキュリティチームによって内部で発見され、2 月 6 日に公開されました。これはマルチテナント モードが有効な場合の FortiClient EMS バージョン 7.4.4 に影響します。シングルサイト デプロイメントは影響を受けません。セキュリティ専門家は、企業がバージョン 7.4.5 以降にアップグレードすることで、直ちにパッチを適用することを警告しています。

公開時の時点では、Fortinet は CVE の積極的な悪用を示すためにセキュリティアドバイザリーを更新していませんでした。

この欠陥は、SQL コマンド脆弱性で使用される「特殊要素の不適切な中和」として説明されています。これは、細工されたヘッダー値を持つ単一の HTTP リクエストが、バッキング PostgreSQL データベースに対して任意の SQL を実行するのに十分であることを意味しています。ペネテスト企業 Bishop Fox による詳細なレポートによると、HTTPS を介して EMS web インターフェースに到達できる攻撃者は「これを悪用するために認証情報は不要」とのことです。

「これにより、攻撃者は管理エンドポイントの管理者認証情報、エンドポイント インベントリ データ、セキュリティポリシー、および証明書にアクセスできます」と研究者は書いています。彼らは、エンドポイントがデータベース エラーメッセージを返し、ロックアウト保護がないため、攻撃者が機密データを迅速に抽出できることを指摘しています。

非営利セキュリティ監視団体である Shadowserver Foundation は、現在、インターネットに公開されている web インターフェースを持つ 2,400 以上の FortiClient EMS インスタンスを追跡しており、その大多数は米国とヨーロッパにあります。そして、インターネット接続デバイスの検索エンジンである Shodan は、1,000 の一般公開された FortiClient EMS インスタンスを報告しました。

SQL インジェクションはトップアプリケーションセキュリティの問題

Beauceron の Shipley 氏は SQL インジェクションの危険性を強調し、オープンソース財団が 20 年以上前に立ち上げられた時、この脆弱性は OWASP トップ 10 アプリケーションセキュリティリスクの最初のものであったことを指摘しました。攻撃タイプはその期間のほとんどの間、「十分な理由で」最上位に留まっています。

「このような種類のバグがリモートコード実行につながることは望まないので、[しかし] このサービスのマルチサイトセットアップでは、それはあなたが得られるものです」と Shipley は述べています。

Victor Okorie 氏、Info-Tech Research Group のセキュリティおよびプライバシープラクティスのアドバイザリーディレクターは、SQL インジェクション脆弱性は特に危険であるという Shipley の評価に同意しました。

既存のほとんどのコントロールはこのような欠陥をキャッチできないと彼は指摘し、認証情報の盗難を可能にし、EMS の「暗黙の信頼」による横方向の移動を可能にし、機密データの操作と流出を許可しています。攻撃者は認可されていないコマンドを実行し、認証を完全にバイパスでき、「侵入が簡単になります。」

「悪い行為者のプレイブックは『侵入する』『支配を取る』『利益を得る』で構成されており、これは野生で悪用されている脆弱性をレビューするときに常に覚えておくべきことです」と Okorie は述べています。

ゼロトラストの重要性をハイライト

Fortinet は最近、脅威行為者の主なターゲットであり、攻撃者が AI を使用して弱く保護されたファイアウォールを悪用し、顧客デバイスに対するゼロデイ攻撃を開始し、FortiGate ファイアウォール認証情報を盗んでいます。同社はまた、一部の機器のゼロデイ脆弱性を開示した後の「静か」なパッチについても批判されています。

全体的に、米国サイバーセキュリティおよびインフラストラクチャセキュリティ庁 (CISA) は、積極的に悪用されている 24 の Fortinet 脆弱性をリストしています。

これはゼロトラストアーキテクチャの重要性を強調していると Okorie は述べています。組織は EMS がインターネット公開かどうかを確認する必要があると彼はアドバイスしました。もしそうであれば、インターネットへの直接露出から削除し、安全なアクセスゲートウェイの背後に置く必要があります。企業はまた、「Site」ヘッダー内に埋め込まれた異常な SQL 構文について HTTP トラフィックログを検査する必要があります。

「古い犬は本当に新しいトリックを必要としません。ここにも適用できます」と Okorie は述べています。Fortinet の脆弱性がランサムウェアキャンペーンで使用されているため、「親しみの感覚」があり、攻撃者は引き続き弱点を特定し悪用しています。

Fortinet はより積極的である必要があります

「Fortinet はバグクラス全体を解決するのに問題があるようです」と Beauceron の Shipley が付け加えました。彼らは「バグ叩きモグラたたき」を続けているようです。直面した問題を修正しますが、コードベースを深く確認してその他の領域で同じ欠陥コードを発見する時間を取っていません。

「一方、攻撃者は血の臭いを嗅ぎます」と彼は述べました。このような種類のバグが繰り返されるのを見つけたら、より多くのインスタンスを発見するために彼らのハッキング試みを洗練させます。

AI ツールが攻撃者の仕事を高速化する中、Fortinet はバグ狩りでより積極的である必要があると Shipley は述べています。しかし、そうは言っても、彼は観察しました。同社の収益は 2025 年に14% 以上継続して増加しました。「したがって、市場は彼らが [これについて] もっと気にする必要があるという強いシグナルを正確に送信していません。」