Активна експлоатация на критична уязвимост във FortiClient EMS

Picture of Здравко Боджов
Здравко Боджов
Уязвимости

Ранна вълна от атаки срещу корпоративни среди

Нова критична уязвимост в платформата FortiClient EMS вече се използва активно от атакуващи, според данни на Defused. Става въпрос за уязвимостта CVE-2026-21643, която позволява неоторизиран достъп и изпълнение на произволен код чрез сравнително лесни за реализиране атаки.

Случаят е показателен за нарастващата тенденция уязвимости да бъдат експлоатирани почти веднага след тяхното разкриване – още преди организациите да успеят да приложат необходимите корекции. Именно този кратък прозорец между публикуването и масовото пачване се превръща в критична зона за риск.

Технически детайли и механизъм на атаката

Уязвимостта представлява SQL injection, която засяга уеб интерфейса (GUI) на FortiClient EMS. Атакуващите могат да инжектират злонамерени SQL заявки чрез манипулиране на HTTP заглавието „Site“, което позволява заобикаляне на защитните механизми на приложението.

Особено тревожен е фактът, че експлоатацията:

  • не изисква автентикация
  • може да бъде изпълнена с ниска техническа сложност
  • предоставя възможност за изпълнение на системни команди
  • потенциално води до пълен контрол върху засегнатата система

Тази комбинация от фактори прави уязвимостта изключително привлекателна за киберпрестъпници, включително за оператори на рансъмуер и групи, занимаващи се с индустриален шпионаж.

Реална експлоатация преди официално признание

Въпреки че към момента уязвимостта все още не е официално включена в списъка с активно експлоатирани заплахи на CISA, данните на Defused показват, че първите атаки са започнали само дни след нейното идентифициране.

Това поставя организациите в особено уязвима позиция, тъй като липсата на официално потвърждение често води до забавяне в реакцията и приоритизацията на пачването.

Масово изложени системи и глобален обхват

Според наблюдения на Shadowserver Foundation, хиляди инстанции на FortiClient EMS са достъпни през интернет със своите уеб интерфейси. Част от анализите показват значителна концентрация на такива системи в Съединените щати и Европа.

Публичната експозиция на административни интерфейси значително увеличава риска от автоматизирани атаки, при които сканиращи инструменти откриват уязвими системи и ги компрометират в рамките на минути.

Засегнати версии и налични мерки

Уязвимостта засяга версия 7.4.4 на FortiClient EMS. Решението, предоставено от разработчика Fortinet, е обновяване до версия 7.4.5 или по-нова, където проблемът е адресиран.

Въпреки наличието на корекция, забавянето при нейното внедряване остава основен фактор за успешните атаки. Това е особено валидно за среди с по-сложни процеси по управление на промените или с ограничен капацитет за бързо тестване и внедряване на обновления.

Исторически контекст и повтарящ се модел

Уязвимостите в продукти на Fortinet нееднократно са били използвани като входна точка за сериозни киберинциденти. През последните години редица подобни слабости са били експлоатирани в кампании с рансъмуер, както и в операции, свързвани с държавно подкрепени групи.

През 2024 г. например, друга SQL injection уязвимост във FortiClient EMS беше използвана при атаки срещу телекомуникационни доставчици, което доведе до намесата на CISA и задължителни указания за федералните агенции в САЩ.

Този модел показва, че подобни платформи остават високоприоритетна цел за атакуващите, особено когато са достъпни от интернет.

Препоръки към организациите

С оглед на активната експлоатация, организациите следва да предприемат незабавни действия:

  • да актуализират FortiClient EMS до последната налична версия
  • да ограничат достъпа до уеб интерфейса само от доверени мрежи
  • да внедрят допълнителни защитни механизми като Web Application Firewall (WAF)
  • да наблюдават логовете за подозрителни HTTP заявки и аномалии
  • да извършат проверка за евентуална компретация

Навременната реакция е ключова, тъй като подобни уязвимости често се използват в автоматизирани кампании, които не правят разлика между малки и големи организации.

Случаят с CVE-2026-21643 подчертава една устойчива тенденция в киберзаплахите – ускорената експлоатация на новооткрити уязвимости. Комбинацията от лесна атака, липса на автентикация и широко разпространение на засегнатия софтуер създава сериозен риск за организациите по целия свят.

В условията на динамична среда, способността за бърза реакция и проактивно управление на уязвимостите се превръща в критичен фактор за устойчивостта на всяка инфраструктура.

#CVE-2026-21643, # FortiClient EMS, # Fortinet, # SQL injection, # киберсигурност
e-security.bg

Подобни

CISA дава 72 часа за реакция при KEV в LiteSpeed cPanel
17.06.2026
cisa
Активни атаки срещу критични уязвимости във Fortinet FortiSandbox
17.06.2026
fortinet
Cisco поправя активно използвана уязвимост в Catalyst SD-WAN Manager
16.06.2026
cisco
Критична уязвимост в Microsoft 365 Copilot
16.06.2026
Microsoft-Office-365
10-годишна уязвимост в phpBB позволява пълен достъп
15.06.2026
ai-generated-9296016_640
Microsoft отстрани проблем в Windows Server 2025
13.06.2026
2025server-150x150

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy