FortiClient EMS sérülékenyég
A FortiClient EMS egy kritikus sérülékenysége már nemcsak elméleti kockázat, hanem aktív kihasználás alatt áll. A CVE-2026-21643 egy klasszikus SQL injection sérülékenység, amely a webes menedzsment felületen keresztül érhető el. A rendszer nem megfelelően szűri a bemeneti adatokat, így a támadó speciálisan kialakított HTTP kérésekkel – konkrétan a Site fejléc manipulálásával – képes SQL parancsokat befecskendezni.
A sérülékenység nem igényel hitelesítést, egy külső támadó közvetlenül, érvényes felhasználói adatok nélkül is kihasználhatja. Sikeres exploit esetén lehetőség nyílik nemcsak adatlekérdezésre, hanem tetszőleges kód vagy parancs végrehajtására, ami teljes rendszerkompromittációhoz vezethet.
A sérülékenységet már valós környezetben is észlelték, honeypot adatok alapján támadók aktívan próbálják kihasználni, miközben több száz, internet felé nyitott FortiClient EMS példány továbbra is elérhető. Ez jól mutatja a window of exposure problémáját, amikor a patch már elérhető, de a rendszerek jelentős része még nem frissült.
A sérülékenység csak a 7.4.4-es verziót érinti, és a 7.4.5-ös kiadásban javították, ugyanakkor a kockázatot jelentősen növeli, hogy az EMS egy központi menedzsment rendszer, amely endpointok felett rendelkezik kontrollal. Ennek kompromittálása nemcsak egy szervert érint, hanem potenciálisan teljes vállalati végpont-infrastruktúrához ad hozzáférést, beleértve policy-kat, telemetriát és klienseket.
