В сфере корпоративной кибербезопасности обнаружена новая критическая уязвимость, которая ставит под угрозу централизованное управление защитой конечных устройств в компаниях. Речь идет о продукте FortiClient Enterprise Management Server (EMS) от компании Fortinet, который служит для развертывания политик безопасности и мониторинга состояния рабочих станций и серверов. Уязвимость, получившая идентификатор CVE-2026-21643, позволяет неавторизованным злоумышленникам получить полный контроль над базой данных системы, что равносильно компрометации всего управляемого сегмента сети.
Детали уязвимости CVE-2026-21643
С технической точки зрения проблема классифицируется как инъекция SQL и имеет почти максимальный балл опасности 9.1 по шкале CVSS. Главная особенность и опасность этой уязвимости заключается в том, что она срабатывает на этапе, предшествующем аутентификации пользователя. Другими словами, для проведения атаки злоумышленнику даже не требуется знать логин или пароль администратора. Достаточно иметь возможность отправить специально сформированный веб-запрос к интерфейсу управления.
Причина уязвимости кроется в ошибке, допущенной разработчиками Fortinet во время крупного обновления кодовой базы. При выпуске версии 7.4.4 была значительно переработана промежуточная часть ПО (middleware), отвечающая за взаимодействие веб-интерфейса с базой данных PostgreSQL. В процессе этого рефакторинга была упущена критически важная процедура валидации и санации (очистки) входных данных. Система некорректно обрабатывала значение HTTP-заголовка «Site», который используется в многопользовательских (мультитенантных) конфигурациях для разделения данных разных клиентов или подразделений. Вместо проверки, сырое значение заголовка напрямую подставлялось в SQL-запрос для установки пути поиска в базе данных, что и создало возможность для внедрения произвольных команд.
Эксплуатация уязвимости чрезвычайно проста для атакующего, обладающего базовыми навыками. Целью является общедоступный API-эндпоинт "/api/v1/init_consts". Этот путь не защищен механизмами ограничения частоты запросов (rate-limiting) и, что еще более опасно, в случае ошибки возвращает детальные сообщения от самой СУБД (системы управления базами данных) прямо в теле HTTP-ответа. Эта особенность позволяет злоумышленникам использовать технику, известную как error-based extraction (извлечение данных на основе ошибок). Манипулируя содержимым заголовка «Site», атакующий может заставить базу данных последовательно возвращать фрагменты конфиденциальной информации внутри этих сообщений об ошибках, быстро и эффективно извлекая данные без необходимости сложных слепых атак.
Последствия успешной эксплуатации CVE-2026-21643 могут быть катастрофическими для организации. Получив права суперпользователя базы данных, злоумышленник способен похитить хэши паролей администраторов EMS, украсть SSL-сертификаты, используемые для доверенного взаимодействия с конечными точками, а также составить полную карту всех управляемых устройств в сети. В такой инвентарь обычно входят IP-адреса, имена хостов, данные об установленном программном обеспечении и истории обновлений. Более того, поскольку учетная запись базы данных в данной конфигурации часто обладает расширенными привилегиями, существует риск эскалации атаки до уровня выполнения произвольных команд на операционной системе сервера EMS. Это открывает путь к полному захвату контроля над ключевым элементом инфраструктуры безопасности.
Важно отметить, что область воздействия уязвимости ограничена. Она затрагивает исключительно FortiClient EMS версии 7.4.4, и только в тех развертываниях, где активирована функция многопользовательских сайтов (Sites). Более ранние версии, а также новая мажорная версия 8.0, построенная на иной архитектуре, не подвержены данной проблеме. Компания Fortinet оперативно отреагировала и устранила ошибку в следующем патче, выпустив версию 7.4.5. Исправление заключается в принудительной корректной обработке и очистке значения HTTP-заголовка «Site» перед его использованием в SQL-запросах.
Эксперты настоятельно рекомендуют всем организациям, использующим FortiClient EMS 7.4.4 с включенной мультитенантностью, немедленно обновиться до версии 7.4.5. Для команд безопасности, которые пока не могут применить обновление, доступны временные меры по снижению рисков. Первой и наиболее эффективной является отключение функции Sites в настройках продукта, если это позволяет архитектура сети. Кроме того, критически важно ограничить доступ к веб-интерфейсу EMS, разрешив подключения только с доверенных IP-адресов или через защищенные VPN-каналы, тем самым полностью исключив его публичную доступность из интернета.
Для мониторинга потенциальных попыток эксплуатации специалистам по информационной безопасности следует анализировать логи веб-сервера Apache, на котором работает EMS. Тревожными сигналами являются необычно длительное время обработки запросов или появление множества HTTP-ошибок с кодом 500 (внутренняя ошибка сервера), связанных с эндпоинтом "/api/v1/init_consts". Своевременное обнаружение таких аномалий может помочь выявить атаку на ранней стадии и минимизировать потенциальный ущерб. Данный инцидент в очередной раз подчеркивает важность тщательного тестирования, особенно при крупных структурных изменениях в критически важном для безопасности программном обеспечении.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-21643
- https://fortiguard.fortinet.com/psirt/FG-IR-25-1142
- https://bishopfox.com/blog/cve-2026-21643-pre-authentication-sql-injection-in-forticlient-ems-7-4-4
