Pesquisadores de segurança da empresa Defused identificaram que invasores estão explorando ativamente uma vulnerabilidade crítica na plataforma FortiClient EMS da Fortinet.
Catalogada como
CVE-2026-21643
, essa falha de SQL injection permite que agentes maliciosos não autenticados executem código ou comandos arbitrários em sistemas não corrigidos.
O ataque é relativamente simples e focaliza a interface web (GUI) do FortiClient EMS por meio de requisições HTTP maliciosas.
“Apesar de ainda não constar na lista da CISA e de outras bases de vulnerabilidades ativamente exploradas (KEV), nossa análise aponta a primeira exploração prática da falha há quatro dias”, alertou a Defused durante o fim de semana.
Os invasores inserem comandos SQL no cabeçalho ‘Site’ das requisições HTTP.
Segundo o motor de busca Shodan, quase 1.000 instâncias do FortiClient EMS estão expostas publicamente na internet.
A vulnerabilidade, descoberta internamente por Gwendal Guégniaud, da equipe de segurança da Fortinet, afeta a versão 7.4.4 do FortiClient EMS.
A correção está disponível a partir da versão 7.4.5.
Até o momento, a Fortinet não atualizou seu boletim de segurança nem confirmou que a falha está sendo explorada de fato.
O grupo de monitoramento Shadowserver mapeia atualmente mais de 2.000 instâncias do FortiClient EMS com interfaces web expostas na internet, sendo cerca de 1.400 apenas nos Estados Unidos e na Europa.
Outra pesquisa no Shodan revela que o número de sistemas expostos vai além do FortiClient EMS, predominando casos nos Estados Unidos.
Vulnerabilidades em produtos Fortinet são frequentemente usadas para invadir redes corporativas em ataques de ransomware e campanhas de ciberespionagem, muitas vezes aproveitando zero-days antes do lançamento das correções.
Recentemente, a Fortinet bloqueou ataques zero-day referentes à
CVE-2026-24858
, restringindo conexões FortiCloud SSO em dispositivos com firmware vulnerável.
Em março de 2024, a agência de segurança dos EUA CISA exigiu que agências federais corrigissem outra falha de SQL injection no FortiClient EMS, explorada em ataques de ransomware e por Salt Typhoon, grupo de hackers patrocinado pelo governo chinês, para invadir provedores de serviços de telecomunicações.
No total, a CISA identificou 24 vulnerabilidades da Citrix como exploradas ativamente, sendo 13 usadas especificamente em ataques de ransomware.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...