サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、Fortinetソフトウェアの重大なセキュリティ脆弱性に関する緊急警告を発表しました。
2026年4月13日、CISAはCVE-2026-21643を既知悪用脆弱性(KEV)カタログに追加しました。このアクションは、脅威アクターが実際のサイバー攻撃でこの脆弱性を積極的に悪用していることを確認しています。
CISAはこの権威あるデータベースを維持して、ネットワーク防御者がパッチ適用の優先順位付けを行い、悪意のある脅威活動に対応できるようにしています。世界中の組織は、ハッカーが企業ネットワークに侵入する前にシステムを保護するために競争しています。
Fortinetの SQL インジェクション脆弱性
CVE-2026-21643として正式に追跡されているセキュリティ上の弱点は、Fortinet FortiClient Enterprise Management Server(EMS)に影響します。
このソフトウェアは、従業員のエンドポイントデバイス全体のセキュリティポリシーを管理するために企業によって広く使用されています。脆弱性自体は SQL インジェクション脆弱性であり、サイバーセキュリティコミュニティ内では技術的にはCWE-89として知られています。
SQL インジェクションは、アプリケーションがユーザー入力を不適切に処理した場合に発生し、攻撃者が基となるデータベースを欺いて悪意のある命令を実行させることができます。
公式なCISA勧告によると、この特定の SQL インジェクション脆弱性は、認証をまったく必要としないため、非常に危険です。
攻撃者は脆弱なソフトウェアを悪用するために、有効なユーザー名、パスワード、または既存のアクセスを必要としません。代わりに、インターネットに接続されているFortiClient EMSサーバーに特別に細工されたHTTPリクエストを送信するだけで十分です。
成功した場合、認証されていない攻撃者は対象マシン上で不正なコードまたはコマンドを直接実行でき、システム全体が危険にさらされる可能性があります。
現時点では、ランサムウェアギャングがCVE-2026-21643を恐喝キャンペーンで積極的に使用しているかどうかは不明のままです。
しかし、脆弱性がログインを必要としないリモートコード実行を可能にするため、初期ネットワークアクセスを求める脅威アクターにとっては完璧な標的です。
脅威インテリジェンス分析者は、ネットワーク防御者に脅威を積極的に探し、悪用の試みを示す可能性のある異常なHTTPトラフィックパターンのセキュリティログを確認することを強く勧めています。
連邦民間行政機関は、この緊急のセキュリティ問題に対処するための非常に厳しい期限があります。拘束力のある運用指令(BOD)22-01の下では、これらの政府機関は2026年4月16日までに脆弱性にパッチを適用するか軽減する必要があります。
民間企業および国際機関は、この同じ積極的な3日間のタイムラインに従うことが強く推奨されています。IT管理者は最新のセキュリティ更新を適用し、Fortinetの公式ベンダー指示に詳細な軽減手順に従う必要があります。
クラウドサービスまたはローカルサーバーにパッチを適用できない場合、CISAは組織に脆弱な製品の使用を完全に中止することを勧めています。
翻訳元: https://gbhackers.com/cisa-warns-fortinet-sql-injection-flaw/
