Компания Fortinet опубликовала информацию о критической уязвимости в своем продукте для управления конечными точками FortiClient EMS (Endpoint Management Server). Уязвимость, получившая идентификатор CVE-2026-21643, оценивается по шкале CVSS в 9.1 балла из 10. Она позволяет злоумышленникам удаленно выполнять произвольный код на уязвимых системах без необходимости аутентификации, что представляет серьезную угрозу для корпоративных сетей.
Детали уязвимости
Проблема кроется в реализации административного веб-интерфейса FortiClient EMS. Специалисты обнаружили классическую уязвимость типа SQL-инъекция (SQL injection). Данный тип атаки возникает, когда приложение некорректно обрабатывает пользовательский ввод, позволяя злоумышленнику встраивать произвольные команды в запросы к базе данных. В данном случае система недостаточно фильтрует специальные символы в SQL-командах, что создает брешь для эксплуатации.
Главная опасность CVE-2026-21643 заключается в том, что для ее использования атакующему не требуются учетные данные. Эксплуатация возможна удаленно через сеть. Для этого достаточно отправить специально сформированный HTTP-запрос на административный интерфейс уязвимого сервера. Следовательно, злоумышленникам не нужен физический доступ к оборудованию или легальная учетная запись. Успешная атака позволяет выполнить произвольные команды или код на сервере с правами, под которыми работает служба FortiClient EMS. Это может привести к полному контролю над системой.
После компрометации сервера злоумышленники могут похищать конфиденциальные данные, устанавливать вредоносное программное обеспечение, такое как программы-вымогатели или использовать сервер в качестве плацдарма для движения по сети организации. Подобные инциденты часто становятся началом масштабных целенаправленных атак.
Уязвимость затрагивает исключительно FortiClient EMS версии 7.4.4. Важно отметить, что версии 7.2.x и 8.0.x, а также облачный сервис FortiEMS Cloud не подвержены данной проблеме. Компания Fortinet оперативно отреагировала на обнаруженную угрозу, выпустив исправленную версию программного обеспечения 7.4.5. Специалисты настоятельно рекомендуют всем организациям, использующим версию 7.4.4, немедленно обновиться до патченной версии 7.4.5 или более новой.
Интересно, что уязвимость была обнаружена в результате внутреннего исследования. Ее нашел Гвендаль Гегньо из команды безопасности продуктов Fortinet. Этот случай подчеркивает важность собственных программ проверки защищенности в рамках модели Security Development Lifecycle. Относительно короткий срок между обнаружением и публичным раскрытием информации свидетельствует о критичности найденной проблемы.
Системным администраторам следует расценивать установку этого исправления как первоочередную задачу. Перед обновлением необходимо провести инвентаризацию, чтобы выявить все уязвимые системы. Далее важно запланировать окно обслуживания для апгрейда и обязательно проверить успешность установки патча. Параллельно рекомендуется усилить мониторинг сетевых логов на предмет подозрительных HTTP-запросов к административному интерфейсу FortiClient EMS. Своевременное обнаружение попыток эксплуатации может предотвратить серьезный инцидент. Следует помнить, что информация об уязвимости теперь публична, что неизбежно привлечет внимание киберпреступников, которые могут попытаться создать и распространить эксплойт.
