脅威インテリジェンス企業Defused Cyberの警告によると、脅威アクターがFortinet FortiClient EMSの重大度の高い脆弱性の悪用を開始しました。
集中管理サーバーであるFortiClient EMSは、組織が自社環境全体でFortiClientエンドポイントをデプロイ、設定、監視することを可能にします。また、マルチテナントデプロイメントもサポートしており、単一インスタンスから複数の顧客サイトを管理できます。
CVE-2026-21643として追跡されている現在悪用されているこのバグは、認証なしに特別に作成されたHTTPリクエストを介してリモートで悪用可能なSQLインジェクション問題として説明されています。
Fortinetが勧告で述べているように、この脆弱性の悪用に成功すると、任意のコードまたはコマンドの実行につながる可能性があります。
このセキュリティ欠陥はFortiClient EMSバージョン7.4.4に影響を及ぼし、2月初旬にバージョン7.4.5でパッチが適用されました。Fortinetによると、この脆弱性は内部で発見されました。
公開開示から1ヶ月後、サイバーセキュリティ企業Bishop Foxはこのバグに関する技術情報を公開し、悪用が実現可能であることを警告しました。
「当社の分析によると、攻撃者は公開されている/api/v1/init_constsエンドポイントを悪用して、認証前にSQLインジェクションをトリガーできます。このエンドポイントはデータベースエラーメッセージを返し、ロックアウト保護がないため、攻撃者は脆弱なFortiClient EMS 7.4.4マルチテナントデプロイメントから迅速に機密データを抽出できます」とBishop Foxは警告しました。
このサイバーセキュリティ企業によれば、この問題はバージョン7.4.4で再設計されたミドルウェアスタックとデータベース接続レイヤーを通じて導入され、認証前にHTTP識別ヘッダーがサニタイズされずにデータベースクエリに渡されました。
これにより、攻撃者はデータベースに対して任意のSQLコードを実行し、管理者認証情報、エンドポイントインベントリ、セキュリティポリシー、およびエンドポイント証明書にアクセスできるようになります。
この脆弱性を対象とした概念実証(PoC)コードがオンラインで公開されています。
週末に、DefusedはCVE-2026-21643が少なくとも4日間にわたって悪用されており、約1,000のFortiClient EMSデプロイメントがインターネットに露出していることを警告しました。3月30日の時点で、The Shadowserver Foundationは2,000を超えるインターネットアクセス可能なインスタンスを追跡しています。
露出しているデプロイメントのうち何個が脆弱であるかは不明であり、Fortinetはまだこのバグが悪用されたことを示す勧告を更新していません。
SecurityWeekはこの脆弱性の悪用についてFortinetに声明を求めるメールを送信しており、同社が応答した場合はこの記事を更新します。
翻訳元: https://www.securityweek.com/exploitation-of-critical-fortinet-forticlient-ems-flaw-begins/
