サイバーセキュリティ研究者は、Fortinet FortiClientのエンタープライズ管理サーバー(EMS)を実行している組織に対して緊急警告を発令しました。
この重大な管理プラットフォームの2,000以上のインスタンスが現在公開インターネットに露出しており、脅威アクターは認証情報を盗むことなくシステム全体の侵害を実現するために2つの重大な脆弱性を積極的に悪用しています。
この緊急事態の中心にある2つの欠陥はCVE-2026-35616およびCVE-2026-21643として追跡されており、両方とも認証が不要なリモートコード実行(RCE)脆弱性として分類されています。
それらの非認証の特性により特に危険です:敵が攻撃を開始するのに有効なユーザー名やパスワードは必要ありません。
インターネットに面したFortiClient EMSサーバーに単一の特別に作成されたHTTPリクエストを送信することにより、攻撃者は任意のコマンドを実行し、基盤となるオペレーティングシステムの完全な制御を獲得できます。
主導的な非営利セキュリティ研究組織であるShadowserver Foundationは、両方の欠陥のアクティブで実在する悪用を確認し、リスクレベルを理論的なものから未パッチの組織への即座の運用上の脅威に引き上げました。
Shadowserverの公開追跡ダッシュボードによると、インターネットスキャンデータは、現在約2,000のFortiClient EMSサーバーが可視化されており、公開インターネットから到達可能であることを明らかにしています。
露出は地理的に広がっていますが、米国とドイツが脆弱なインスタンスの最も高い集中度を保持しています。
公開インターネットからアクセス可能な集中管理サーバーを放置することは、それ自体が危険な設定ミスです。
アクティブなエクスプロイトが流通している間にそうすることは、悪い慣行を世界的なITおよびセキュリティチーム向けの重大な緊急事態に変えます。
FortiClient EMSは通常のエンドポイントツールではなく、組織のエンドポイントセキュリティ態勢の中枢神経システムです。
IT管理者は、エンタープライズ内のすべての従業員デバイス全体で、ウイルス対策ポリシー、Webコンテンツフィルタリングルール、およびセキュアなリモートアクセス構成を管理するために、それに依存しています。
この中心的な役割が正確にそれを魅力的なターゲットにしているものです。
攻撃者がEMSサーバーを侵害する場合、企業ネットワーク内でその信頼できる位置を継承します。
エンドポイントは本質的にEMSサーバーによって発行されたコマンドを信頼しているため、悪意のある命令は標準的なセキュリティツール内で警告を発することなく実行されることが多く、侵害後の検出が著しく難しくなります。
FortinetのEMSを利用している組織は、これをP0インシデントとして扱い、遅延なく行動する必要があります。次のステップが不可欠です:
翻訳元: https://cyberpress.org/over-2000-forticlient-ems-servers-exposed-as-rce-attacks-surge/