Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило срочное предупреждение о критической уязвимости в программном обеспечении компании Fortinet, которая уже активно используется злоумышленниками в реальных атаках. Инцидент в очередной раз демонстрирует, насколько быстро угрозы переходят из теоретической плоскости в практическую, заставляя компании по всему миру в авральном порядке укреплять свою оборону.
Уязвимость CVE-2026-21643
CISA внесла уязвимость, получившую идентификатор CVE-2026-21643, в свой каталог Known Exploited Vulnerabilities (KEV, база данных известных эксплуатируемых уязвимостей). Это решение подтверждает, что киберпреступники не просто знают о проблеме, а уже применяют её для взлома корпоративных сетей. Каталог KEV служит авторитетным источником для специалистов по информационной безопасности, помогая им расставлять приоритеты при устранении проблем, чтобы успевать за развивающейся зловредной активностью. Теперь организациям по всему миру приходится буквально соревноваться со временем, чтобы обезопасить свои системы до того, как хакеры получат к ним доступ.
Сама уязвимость затрагивает сервер управления FortiClient Enterprise Management Server (EMS) - программное решение, которое бизнес широко использует для централизованного управления политиками безопасности на устройствах сотрудников, таких как ноутбуки и рабочие станции. Технически проблема классифицируется как SQL-инъекция (CWE-89). Этот тип уязвимости возникает, когда приложение некорректно обрабатывает пользовательский ввод, что позволяет атакующему "обмануть" внутреннюю базу данных и заставить её выполнить вредоносные команды.
Однако особенность CVE-2026-21643 делает её особенно опасной. Согласно официальному бюллетеню CISA, для эксплуатации этой уязвимости злоумышленнику не требуется аутентификация. Ему не нужны действующие учётные данные, пароль или какой-либо предварительный доступ к системе. Достаточно лишь отправить специально сформированный HTTP-запрос на интернет-обращённый сервер FortiClient EMS. В случае успеха неавторизованный атакующий может выполнить произвольный код или команды на целевой машине, что с высокой вероятностью приведёт к полному компрометации системы и получению контроля над ней.
На данный момент CISA отмечает, что неизвестно, используют ли группировки, распространяющие программы-вымогатели (ransomware), эту уязвимость в своих атаках с целью вымогательства. Тем не менее, возможность удалённого выполнения кода без необходимости входа в систему делает CVE-2026-21643 идеальной целью для злоумышленников, ищущих точку первоначального проникновения в сеть. Аналитики по киберугрозам настоятельно рекомендуют специалистам по защите данных перейти к активному поиску угроз и тщательно проанализировать журналы безопасности на предмет необычных паттернов HTTP-трафика, которые могут указывать на попытку эксплуатации.
Ситуация требует безотлагательных действий. CISA подчёркивает, что если обновление не может быть применено - будь то облачные сервисы или локальные серверы - организациям следует полностью прекратить использование уязвимого продукта. Этот инцидент служит суровым напоминанием о том, что в современном киберпространстве окно между обнаружением уязвимости и её активным использованием злоумышленниками становится всё уже, вынуждая бизнес и государственные структуры кардинально пересматривать подходы к скорости реагирования на инциденты информационной безопасности.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-21643
- https://fortiguard.fortinet.com/psirt/FG-IR-25-1142
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?search_api_fulltext=CVE-2026-21643
