サイバーセキュリティ研究者は、Fortinet の FortiClient Enterprise Management Server (EMS)を使用している組織に緊急警告を発しています。
この重要な管理ツールの2,000以上のインスタンスが現在、公共インターネットに露出しています。脅威者はこれらのシステムを完全に制御するために、深刻な脆弱性を積極的に悪用しています。
これらのセキュリティギャップはCVE-2026-35616(新たに発見された脅威)とCVE-2026-21643として追跡されています。両方とも認証なしのリモートコード実行(RCE)脆弱性として分類されています。
簡単に言えば、これは攻撃者がネットワークに侵入するためにユーザー名を盗んだりパスワードを推測する必要がないことを意味します。
脆弱なFortiClient EMSサーバーにインターネット経由で特別に細工されたリクエストを送信するだけで、ハッカーは悪意のあるコマンドを実行し、基盤となるオペレーティングシステムを完全に乗っ取ることができます。
大手の非営利セキュリティ研究グループであるShadowserver Foundationは、最近、2つの重大な欠陥の活動中での悪用を検出しました。
グローバル露出データ
Shadowserver の公開追跡ダッシュボードによると、数千の組織が誤ってFortiClient EMS サーバーを外部から直接アクセス可能なままにしています。
彼らのインターネットスキャンデータは、現在約2,000のサーバーがグローバルに見える状態と危険にさらされていることを明らかにしています。
露出は地理的に広がっていますが、米国とドイツが脆弱なインスタンスの最も高い濃度を保有しています。
中央管理サーバーを公共インターネットに露出させることは、それ自体が危険な行為です。アクティブなエクスプロイトが循環している間にこれを行うことは、IT チームにとって重大な緊急事態を生み出します。
FortiClient EMS は、企業ネットワーク全体のエンドポイントセキュリティを管理するために設計された一元化ツールです。
IT 管理者は、これを使用してアンチウイルス設定、Web フィルタリング ルール、および従業員デバイスのセキュアなリモートアクセスポリシーを処理します。
サイバー犯罪者が EMS サーバーを侵害する場合、彼らはより広い企業環境への強力で信頼できる足がかりを得ます。
攻撃者はこの一元化された管理機能を悪用して、マルウェアをプッシュし、ユーザーのラップトップのセキュリティソフトウェアを無効にするか、組織全体に破壊的なランサムウェアをデプロイできます。
従業員デバイスは本質的にEMSサーバーから来る指示を信頼しているため、これらの悪意のあるコマンドはしばしば典型的なセキュリティアラームをトリガーせずに実行されます。
Fortinet の EMS を使用している組織は、脅威者が露出したシステムを見つける前に、インフラストラクチャを保護するために迅速に行動する必要があります。
最も重要なステップは、Fortinet が提供する最新のセキュリティパッチを適用して、CVE-2026-35616 および CVE-2026-21643 からの脅威を排除することです。
IT 管理者はまた、ファイアウォールとネットワーク構成をすぐに確認する必要があります。FortiClient EMS の管理インターフェースは、公共インターネットに直接公開されるべきではありません。
アクセスは信頼できる内部ネットワークに厳密に隔離するか、適切に構成された仮想プライベートネットワーク(VPN)の背後で保護する必要があります。
翻訳元: https://gbhackers.com/2000-forticlient-ems-instances-exposed-online/
