Die Sicherheitsgemeinschaft ist nach Bestätigung der aktiven Ausbeutung der kritischen Sicherheitslücke auf der Endpoints-Management-Plattform von Fortinet, FortiClient EMS auf der Alarmstufe. als CVE-2026-21643, es ist eine SQL-Injektion, die in unpatched Systemen erlaubt böswilligen Schauspielern Befehle oder Code remote mit einer niedrigen Komplexität ausführen.
Forscher der Defused Intelligence-Firma haben öffentlich auf die ersten Versuche zur Ausbeutung aufmerksam gemacht und erklärt, dass die Angreifer bösartige SQL-Anweisungen in den "Site"-Header von HTTP-Anfragen einführen, die an die FortiClient EMS-Web-Schnittstelle angesprochen werden. Sie können Ihre Warnung direkt in Ihrer Online-Veröffentlichung sehen Hier.. Dieser Vektor ist besonders gefährlich, weil er vor der Authentifizierung nicht benötigt, um den Ausfall auszunutzen.
Fortinet hat den Ausfall intern erkannt und einer bestimmten Version des Produkts zugeschrieben: Die Einrichtungen mit FortiClient EMS 7.4.4 sind betroffen. Die vom Hersteller selbst empfohlene technische Minderung ist die Aktualisierung auf Version 7.4.5 oder höher; der offizielle Sicherheitshinweis ist auf dem FortiGuard Portal verfügbar. De Fortinet. In der Zwischenzeit versuchten einige Presseberichte, mit dem Unternehmen die beobachteten Betriebe zu bestätigen, ohne sofortige Antwort.
Der potenzielle Umfang des Problems wird durch die Internet-Exposition vieler EMS-Server erhöht. Die Shadowserver-Überwachungsgruppe verfolgt über 2.000 FortiClient EMS-Instanzen mit der Internet-accessible Web-Schnittstelle, die sich weitgehend zwischen den Vereinigten Staaten und Europa verbreitet; ihr öffentliches Follow-up-Panel befindet sich Hier.. Ein zusätzliches Tracking mit Shodan gibt Hunderte oder Tausende von öffentlich identifizierbaren Instanzen zurück, die die Arbeit von Akteuren erleichtern, die verletzliche Ziele suchen ( Suche in Shodan)
Diese Episode passt zu einem bekannten Muster: die Schwächen in Fortinet-Produkte waren das übliche Ziel von Ransomware-Kampagnen und Spionageoperationen, oft sehr schnell ausgenutzt. Die US-Agentur für Infrastruktur und Cybersicherheit. USA (CISA) hat zuvor Fortinet Schwachstellen identifiziert, die in der Praxis genutzt werden und hat dringende Patches für Bundesumgebungen bei früheren Gelegenheiten bestellt; Sie können den Katalog der Schwachstellen sehen, die CISA bekannt ist in diesem Link, und historische Recherchen über Fehler im Zusammenhang mit FortiClient EMS insbesondere Hier..
Wenn Sie FortiClient EMS verwalten, ist die Empfehlung nicht nur theoretisch: sie wirkt sofort. Machen Sie zunächst das Update auf die sichere Version (7.4.5 oder höher) so schnell wie möglich. Parallel, wenn Sie nicht sofort parken können, begrenzt es den Zugriff auf die Management-Schnittstelle: es blockiert den direkten Verkehr aus dem Internet, zwingt den Zugriff durch VPN oder durch Zugriffskontrolllisten, die nur zuverlässige Management-PIs erlauben, und hält die Einreichung einer WAF- oder Perimeter-Kontrollregeln, die verdächtige Anfragen an den HTTP-Header mit der Explosion filtern.
Neben der Patch- und Access-Eindämmung ist es angebracht, die Erkennungs- und Antwortarbeit zu starten: Überprüfen Sie die Web-Schnittstelle und Server-Einträge, um nach anormalen Anfragen zu suchen, die Daten im "Site"-Header enthalten, Suche nach ungewöhnlichen Aktivitäten in Datenbanken oder EMS-Server-Prozessen und erweitern Sie die Überwachung mit EDR / IDS, um unberechtigte Befehlsausführung zu erkennen. Wenn es Anzeichen von Engagement gibt, isolieren Sie die Instanz, führen Sie forensische Analyse und Wiederherstellung von Systemen aus sauberen Kopien; vergessen Sie nicht, die administrativen Anmeldeinformationen zu ändern und die Anmeldeinformationen von exponierten Dienstleistungen zu rotieren.
Beachten Sie schließlich, dass Geschwindigkeit der Schlüssel ist. Managementlücken, nach ihrer Natur, ermöglichen schnelle Seitenbewegungen innerhalb von Unternehmensnetzwerken und erleichtern die Lieferung von schädlichen Lasten wie Ansomware. Wenn Ihre Organisation FortiClient EMS verwendet, behandeln Sie diese Warnung als Priorität und koordinieren Sie Patch, Zugriffsbeschränkungen und Erkennungsaktivitäten unverzüglich. Für technische Informationen und offizielle Updates siehe die Registerkarte CVE im NVD Hier., die öffentliche Bekanntmachung von Fortinet in FortiGuard Hier. und die folgenden Berichte von Ausstellungen in Shadowserver und Shodan oben erwähnt.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...