Fortinet のお客様は、ベンダーが週末に緊急パッチを発行することを余儀なくされた後、FortiClient Enterprise Management Server (EMS) 製品を更新するよう促されています。
CVE-2026-35616 は、認証されていない攻撃者が細工されたリクエストを通じて不正なコードやコマンドを実行できる可能性のある、重大(CVSS 9.1)な不正なアクセス制御脆弱性です。
「Fortinet はこれが実際に悪用されるのを確認し、脆弱な顧客に FortiClient EMS 7.4.5 および 7.4.6 用のホットフィックスをインストールするよう促しています」とベンダーが 述べました。「今後の FortiClientEMS 7.4.7 もこの問題の修正を含むでしょう。それまでの間、上記のホットフィックスがそれを完全に防ぐのに十分です。」
Fortinet の脆弱性についてさらに詳しく:Fortinet が重大な脆弱性の利用可能なエクスプロイトコードについて警告
サイバーセキュリティベンダーの Defused は、先週初めにゼロデイ攻撃でこの脆弱性が悪用されるのを目撃し、それに応じて Fortinet に通知したと説明しました。
「この脆弱性により、認証されていない攻撃者が API 認証および認可を完全にバイパスし、細工されたリクエストを通じて不正なコードやコマンドを実行できます」と Defused はソーシャルメディアの投稿で述べました。
1 週間で 2 番目の重大な欠陥
Defused はまた、先週 FortiClient EMS プラットフォームで別の重大な脆弱性を発見し、これも実際に悪用されています。
CVE-2026-21643 は CVSS スコアが 9.8 の SQL インジェクションの欠陥であり、認証されていない攻撃者が特別に細工された HTTP リクエストを通じて不正なコードを実行できる可能性があります。
組織のエンドポイント管理インフラストラクチャを乗っ取ることにより、脅威のアクターはエンドポイントに悪質なアップデートをプッシュし、クラウドシステムへの深い攻撃を開始できます。これはスパイ活動とランサムウェアの可能性があります。
その特定の脆弱性に対して、顧客はバージョン 7.4.5 以降にアップグレードするか、少なくとも管理 Web インターフェースをインターネットから切断するよう促されました。侵害の指標 (IoCs) には、/api/v1/init_consts エンドポイント上の HTTP 500 エラー、PostgreSQL ログ内の異常なデータベース エラー メッセージ、および不正なリモート監視および管理ツールが含まれていました。
エンドポイント管理ソリューションは、企業デバイスフリートへのアクセスを提供するため、脅威のアクターにとって人気のあるターゲットです。これはランサムウェア、サイバースパイ活動、または破壊的な攻撃に兵器化できます。
2024 年、Fortinet は ターゲットサーバー上でリモートコード実行 (RCE) を可能にする可能性のある FortiClientEMS の重大な SQL インジェクション脆弱性にパッチを適用することを余儀なくされました。
翻訳元: https://www.infosecurity-magazine.com/news/fortinet-emergency-patch-ems-bug/
