Pesquisadores de segurança da empresa Defused identificaram que invasores estão explorando ativamente uma vulnerabilidade crítica na plataforma FortiClient EMS da Fortinet.
Catalogada como
CVE-2026-21643
, essa falha de SQL injection permite que agentes maliciosos não autenticados executem código ou comandos arbitrários em sistemas não corrigidos.
O ataque é relativamente simples e focaliza a interface web (GUI) do FortiClient EMS por meio de requisições HTTP maliciosas.
“Apesar de ainda não constar na lista da CISA e de outras bases de vulnerabilidades ativamente exploradas (KEV), nossa análise aponta a primeira exploração prática da falha há quatro dias”, alertou a Defused durante o fim de semana.
Os invasores inserem comandos SQL no cabeçalho ‘Site’ das requisições HTTP.
Segundo o motor de busca Shodan, quase 1.000 instâncias do FortiClient EMS estão expostas publicamente na internet.
A vulnerabilidade, descoberta internamente por Gwendal Guégniaud, da equipe de segurança da Fortinet, afeta a versão 7.4.4 do FortiClient EMS.
A correção está disponível a partir da versão 7.4.5.
Até o momento, a Fortinet não atualizou seu boletim de segurança nem confirmou que a falha está sendo explorada de fato.
O grupo de monitoramento Shadowserver mapeia atualmente mais de 2.000 instâncias do FortiClient EMS com interfaces web expostas na internet, sendo cerca de 1.400 apenas nos Estados Unidos e na Europa.
Outra pesquisa no Shodan revela que o número de sistemas expostos vai além do FortiClient EMS, predominando casos nos Estados Unidos.
Vulnerabilidades em produtos Fortinet são frequentemente usadas para invadir redes corporativas em ataques de ransomware e campanhas de ciberespionagem, muitas vezes aproveitando zero-days antes do lançamento das correções.
Recentemente, a Fortinet bloqueou ataques zero-day referentes à
CVE-2026-24858
, restringindo conexões FortiCloud SSO em dispositivos com firmware vulnerável.
Em março de 2024, a agência de segurança dos EUA CISA exigiu que agências federais corrigissem outra falha de SQL injection no FortiClient EMS, explorada em ataques de ransomware e por Salt Typhoon, grupo de hackers patrocinado pelo governo chinês, para invadir provedores de serviços de telecomunicações.
No total, a CISA identificou 24 vulnerabilidades da Citrix como exploradas ativamente, sendo 13 usadas especificamente em ataques de ransomware.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...