Novo zverejnená kritická zraniteľnosť ovplyvňujúca podnikový bezpečnostný softvér od Fortinetu je teraz aktívne zneužívaná v praxi, podľa výskumníkov hrozieb, čo vyvoláva naliehavé varovania pre organizácie po celom svete, aby okamžite opravili postihnuté systémy.
Chyba, sledovaná ako CVE-2026-21643, ovplyvňuje Fortinet FortiClient Endpoint Management Server (EMS) — široko používanú platformu na správu bezpečnosti koncových zariadení v podnikových prostrediach. Bezpečnostní analytici varujú, že zraniteľnosť by mohla umožniť útočníkom získať neoprávnený prístup a vykonávať škodlivé príkazy na kompromitovaných systémoch.
Zneužívanie potvrdené v praxi
Spoločnosť pre threat intelligence Defused cez víkend oznámila, že útočníci začali zneužívať zraniteľnosť len niekoľko dní po jej identifikovaní, napriek tomu, že sa ešte neobjavila na oficiálnych zoznamoch „známe zneužívané“ spravovaných vládnymi agentúrami.
Podľa Defused chyba vychádza zo zraniteľnosti typu SQL injection vo webovom rozhraní správy FortiClient EMS. Táto slabina umožňuje neautentifikovaným útočníkom posielať špeciálne vytvorené HTTP požiadavky, ktoré vkladajú škodlivé SQL príkazy do backend systémov.
Kľúčové je, že útok nevyžaduje predchádzajúcu autentifikáciu a je považovaný za nízko komplexný, čo výrazne zvyšuje riziko rozsiahleho zneužitia.
„Útočníci môžu prepašovať SQL príkazy cez hlavičku ‘Site’ v rámci HTTP požiadavky,“ poznamenali výskumníci, pričom zdôraznili neobvyklý vektor útoku.
Rozsiahla expozícia zvyšuje riziko
Bezpečnostní výskumníci upozornili na počet vystavených systémov. Dáta zo služieb na skenovanie internetu naznačujú, že tisíce inštancií FortiClient EMS sú dostupné online, čo z nich robí potenciálne ciele.
Nezisková monitorovacia skupina Shadowserver uviedla, že sleduje viac ako 2 000 vystavených inštancií, so značnou koncentráciou v Spojených štátoch a Európe. Dodatočné skeny zo Shodan naznačujú, že stovky ďalších systémov môžu byť verejne dostupné.
Táto úroveň expozície dramaticky zvyšuje pravdepodobnosť automatizovaných kampaní zneužívania, najmä keď útočníci často skenujú zraniteľné systémy v priebehu hodín od verejného zverejnenia.
Fortinet potvrdil, že zraniteľnosť ovplyvňuje FortiClient EMS verziu 7.4.4. Problém bol vyriešený vo verzii 7.4.5 a novších a používateľom sa dôrazne odporúča okamžite vykonať aktualizáciu.
Vzorec cieleného zneužívania
Incident zapadá do širšieho vzorca, v ktorom útočníci cielia na produkty Fortinet. V posledných rokoch boli zraniteľnosti v softvéri spoločnosti často využívané v:
- ransomware útokoch
- narušeniach podnikových sietí
- štátom podporovaných operáciách kybernetickej špionáže
Zariadenia Fortinet sú obzvlášť atraktívne ciele, pretože často sedia na perimetri podnikových sietí a fungujú ako brány ku kritickej infraštruktúre.
Historický kontext a vládne varovania
Vláda USA už v minulosti vydala naliehavé smernice týkajúce sa zraniteľností Fortinetu. V marci 2024 agentúra Cybersecurity and Infrastructure Security Agency (CISA) nariadila federálnym agentúram opraviť samostatnú SQL injection zraniteľnosť FortiClient EMS, ktorá už bola zneužívaná v ransomware kampaniach.
Táto skoršia zraniteľnosť bola tiež spojená s útokmi skupiny Salt Typhoon, čínskej štátom podporovanej hrozbovej skupiny, ktorá cielila na poskytovateľov telekomunikačných služieb.
Doteraz CISA pridala 24 zraniteľností Fortinetu do svojho katalógu Known Exploited Vulnerabilities (KEV) — viac než polovica z nich bola použitá v ransomware útokoch.
Rastúce obavy zo zero-day exploitov
Nedávna aktivita naznačuje, že útočníci čoraz viac zneužívajú zraniteľnosti Fortinetu ako zero-day chyby, cieliac na systémy ešte predtým, než sú záplaty široko nasadené.
V samostatnom incidente začiatkom tohto roka Fortinet zmiernil útoky zneužívajúce inú zraniteľnosť (CVE-2026-24858) obmedzením prístupu FortiCloud single sign-on (SSO) zo zraniteľných zariadení.
Tento trend zdôrazňuje rastúcu výzvu pre obrancov: skracujúce sa okno medzi objavením zraniteľnosti a jej aktívnym zneužívaním.
Naliehavé odporúčania pre organizácie
Bezpečnostní odborníci odporúčajú organizáciám používajúcim FortiClient EMS okamžite podniknúť kroky:
- aktualizovať na verziu 7.4.5 alebo novšiu
- obmedziť verejný prístup k webovým rozhraniam EMS
- monitorovať logy na neobvyklé HTTP požiadavky, najmä tie zahŕňajúce manipuláciu s hlavičkami
- implementovať segmentáciu siete na obmedzenie laterálneho pohybu
Vznik CVE-2026-21643 ako aktívne zneužívanej zraniteľnosti zdôrazňuje pretrvávajúce riziká, ktorým čelí podniková bezpečnostná infraštruktúra. Keďže útočníci pokračujú v rýchlom prechode od objavenia k zneužitiu, organizácie musia prijať rýchlejšie cykly záplatovania a silnejšie postupy riadenia expozície.
Keďže tisíce systémov sú stále potenciálne vystavené, situácia zostáva dynamická — a môže eskalovať, ak sa automatizované útočné kampane v nasledujúcich dňoch rozšíria.
Viac informácií tu:
https://www.linkedin.com/comm/pulse/critical-fortinet-forticlient-ems-vulnerability-xqwre