Os invasores agora estão explorando ativamente uma vulnerabilidade crítica na plataforma FortiClient EMS da Fortinet, de acordo com a empresa de inteligência de ameaças Defused.
Rastreado como CVE-2026-21643essa vulnerabilidade de injeção de SQL permite que atores de ameaças não autenticados executem códigos ou comandos arbitrários em sistemas não corrigidos por meio de ataques de baixa complexidade direcionados à GUI (interface da web) do FortiClientEMS por meio de solicitações HTTP criadas com códigos maliciosos.
“Fortinet Forticlient EMS CVE-2026-21643 – atualmente marcado como não explorado na CISA e outras listas de vulnerabilidades exploradas conhecidas (KEV) – viu a primeira exploração já há 4 dias, de acordo com nossos dados,” Desarmado avisado no fim de semana.
“Os invasores podem contrabandear instruções SQL através do cabeçalho ‘Site’ dentro de uma solicitação HTTP. De acordo com Shodan, cerca de 1.000 instâncias do Forticlient EMS são expostas publicamente.”
A vulnerabilidade, descoberta internamente por Gwendal Guégniaud da equipe Fortinet Product Security, afeta o FortiClient EMS versão 7.4.4 e pode ser corrigida com a atualização para a versão 7.4.5 ou posterior.
A Fortinet ainda não atualizou seu consultoria de segurança e sinalizar a vulnerabilidade como explorada em estado selvagem. O BleepingComputer entrou em contato com um porta-voz da Fortinet para confirmar relatos de exploração ativa, mas não houve resposta imediata.
O grupo de vigilância de segurança da Internet Shadowserver está atualmente rastreando mais de 2.000 instâncias do FortiClient EMS com suas interfaces web expostas online, com mais de 1.400 IPs nos Estados Unidos e na Europa.
Um separado Pesquisa Shodan mostra mais do que FortiClient EMS, com instâncias mais expostas nos Estados Unidos.
As vulnerabilidades da Fortinet são frequentemente exploradas para violar redes corporativas em ataques de ransomware e campanhas de espionagem cibernética (geralmente como bugs de dia zero enquanto os patches ainda estão pendentes).
Mais recentemente, a Fortinet mitigou os ataques de dia zero CVE-2026-24858, bloqueando conexões SSO do FortiCloud de dispositivos que executam versões de firmware vulneráveis.
Dois anos atrás, em março de 2024, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) ordenou que as agências federais corrigissem outra vulnerabilidade de injeção SQL do FortiClient EMS que havia sido explorada em ataques de ransomware e pelo Salt Typhoon, um grupo de hackers patrocinado pelo Estado chinês, para violar provedores de serviços de telecomunicações.
No total, a CISA sinalizou 24 vulnerabilidades Citrix como ativamente explorados, 13 dos quais foram usados em ataques de ransomware.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa um sem o outro.
Este whitepaper mapeia seis superfícies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Deseja saber mais sobre Segurança Digital & Antivírus Clique Aqui!
Perito em Computação Forense e Crimes Cibernéticos
Investigação Digital | Laudos Técnicos | Resposta a Incidentes
Bacharel em Sistemas da Informação, Certificado Microsoft Azure IA e MOS. Trabalho como Administrador de Redes, Firewall e Servidores Windows e Linux!
Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.