В Банке данных угроз (BDU) зарегистрирована новая критическая уязвимость в популярном корпоративном решении для управления конечными точками. Уязвимость, получившая идентификатор BDU:2026-01492 и CVE-2026-21643, затрагивает веб-интерфейс сервера управления FortiClient Enterprise Management Server (EMS) версии 7.4.4 от компании Fortinet. Проблема связана с недостаточной защитой от атак типа SQL-инъекция (CWE-89), что позволяет удаленному злоумышленнику выполнять произвольные команды на сервере.
Детали уязвимости
Согласно официальному описанию, эксплуатация уязвимости возможна путем отправки специально сформированных HTTP-запросов к веб-интерфейсу управления. Успешная атака предоставляет злоумышленнику полный контроль над системой. Эксперты присвоили уязвимости максимальные баллы по шкалам CVSS. Базовый балл CVSS 2.0 составляет 10.0, а оценка по более современной CVSS 3.1 достигает 9.8. Оба значения соответствуют критическому уровню опасности. Вектор атаки (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) указывает на то, что для эксплуатации не требуется аутентификация или взаимодействие с пользователем.
Производитель, компания Fortinet, уже подтвердил наличие уязвимости и выпустил исправления. Актуальная информация и рекомендации по обновлению опубликованы в бюллетене безопасности FG-IR-25-1142 на официальном портале FortiGuard. Специалисты настоятельно рекомендуют администраторам, использующим FortiClient EMS 7.4.4, немедленно обратиться к этому источнику и установить предоставленные патчи. Стоит отметить, что установка обновлений из доверенных источников является основной мерой по устранению данной угрозы.
Тем не менее, в текущих геополитических условиях, сопровождающихся санкционными ограничениями, компаниям рекомендуется проводить дополнительную оценку рисков перед применением любых обновлений программного обеспечения. Данная рекомендация носит общий характер и направлена на минимизацию потенциальных сопутствующих угроз. Параллельно с этим эксперты по кибербезопасности предлагают ряд компенсирующих мер для организаций, которые не могут моментально обновить систему.
В частности, для защиты от попыток эксплуатации данной SQL-инъекции эффективно использование межсетевых экранов уровня веб-приложений, известных как WAF. Эти системы способны фильтровать вредоносный трафик и блокировать подозрительные запросы. Кроме того, критически важно ограничить доступ к веб-интерфейсу FortiClient EMS. Идеальной практикой является настройка доступа по принципу «белого списка», разрешающего подключения только с доверенных IP-адресов.
Дополнительный уровень безопасности могут обеспечить системы обнаружения и предотвращения вторжений (IDS/IPS). Эти инструменты способны выявлять и пресекать известные шаблоны атак, включая попытки внедрения SQL-кода. Также администраторам следует рассмотреть возможность полного запрета доступа к интерфейсу управления из внешних сетей, таких как интернет. Если удаленное управление необходимо, его следует организовать исключительно через защищенные виртуальные частные сети (VPN).
На данный момент информация о наличии публичных эксплойтов, использующих эту уязвимость, уточняется. Однако учитывая критический характер уязвимости и относительную простоту эксплуатации SQL-инъекций, эксперты прогнозируют высокую вероятность появления работающих методов атаки в краткосрочной перспективе. Следовательно, промедление с применением исправлений или компенсирующих мер подвергает инфраструктуру компании значительному риску.
Уязвимости в центральных системах управления, подобных FortiClient EMS, представляют особую опасность. Компрометация такого сервера может привести к катастрофическим последствиям, включая распространение вредоносного ПО на все подключенные конечные точки, кражу конфиденциальных данных или полную потерю контроля над ИТ-активами организации. Злоумышленники, особенно представители современных APT-групп, активно охотятся за подобными активами в корпоративных сетях.
Таким образом, обнаруженная уязвимость в FortiClient EMS требует безотлагательного внимания со стороны ИТ- и SOC-специалистов. Комплексный подход, включающий своевременное обновление, сегментацию сети и многоуровневый мониторинг, остается ключевым принципом противодействия подобным угрозам. Регулярный аудит безопасности и следование рекомендациям производителей позволяют значительно снизить поверхность для атак и минимизировать потенциальный ущерб от эксплуатации критических уязвимостей.
Ссылки
- https://bdu.fstec.ru/vul/2026-01492
- https://www.cve.org/CVERecord?id=CVE-2026-21643
- https://fortiguard.fortinet.com/psirt/FG-IR-25-1142
