A comunidade de segurança está em alerta após confirmar a exploração ativa de uma vulnerabilidade crítica na plataforma de gestão de endpoints de Fortinet, FortiClient EMS. Identificada como CVE-2026-21643, trata-se de uma injeção SQL que, em sistemas sem adesivo, permite a atores maliciosos executar comandos ou código remotamente com um nível de complexidade baixo.
Pesquisadores da assinatura de inteligência Defused alertaram publicamente sobre as primeiras tentativas de exploração, explicando que os atacantes introduzam instruções SQL maliciosas dentro do cabeçalho "Site" de pedidos HTTP dirigidos à interface web de FortiClient EMS. Você pode ver seu aviso diretamente em seu comunicado público online aqui. Este vector é particularmente perigoso porque não requer autenticação prévia para tentar explorar a falha.
Fortinet detectou internamente a falha e atribuiu-o a uma versão concreta do produto: as instalações com FortiClient EMS 7.4.4 são as afetadas. A mitigação técnica recomendada pelo próprio fabricante é atualizar para a versão 7.4.5 ou superior; a nota oficial de segurança está disponível no portal de FortiGuard Fortinet. Entretanto, alguns relatos jornalísticos tentaram confirmar com a empresa as explorações observadas, sem que em todos os casos houvesse resposta imediata.
O potencial do problema aumenta pela exposição na Internet de muitos servidores EMS. O grupo de vigilância Shadowserver rastreia mais de 2.000 instâncias de FortiClient EMS com a interface web acessível da Internet, repartidas em boa parte entre os Estados Unidos e a Europa; o seu painel de acompanhamento público encontra-se aqui. Um rastreamento adicional com Shodan retorna centenas ou milhares de instâncias identificáveis publicamente, o que facilita o trabalho de atores que buscam objetivos vulneráveis ( pesquisa em Shodan).
Este episódio se encaixa em um padrão conhecido: as fraquezas em produtos de Fortinet têm sido alvo habitual de campanhas de ransomware e de operações de espionagem, muitas vezes exploradas com muita rapidez. A Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA. Os EUA (CISA) marcaram anteriormente vulnerabilidades de Fortinet como exploradas na prática e ordenaram adesivos urgentes para ambientes federais em ocasiões anteriores; você pode consultar o catálogo de vulnerabilidades conhecidas por CISA nesta ligação, e buscas históricas sobre falhas relacionadas a FortiClient EMS em particular aqui.
Se administrar FortiClient EMS, a recomendação não é apenas teórica: actua imediatamente. Primeiro, realiza a atualização à versão segura (7.4.5 ou superior) logo que possível. Em paralelo, se você não puder corrigir imediatamente, limita o acesso à interface de gestão: bloqueia o tráfego direto da Internet, força o acesso por VPN ou por listas de controle de acesso que permitam apenas IPs de gerenciamento confiáveis, e considera interpor um WAF ou regras de inspeção no perímetro que filtrem pedidos suspeitos ao cabeçalho HTTP que usa o exploit.
Para além do adesivo e da contenção do acesso, é conveniente lançar trabalhos de detecção e resposta: verifique os registros da interface web e do servidor para procurar pedidos anormais que incluam dados no cabeçalho "Site", procura atividade incomum em bases de dados ou em processos do servidor EMS, e amplia a monitorização com EDR/IDS para detectar execução de comandos não autorizados. Se houver indícios de compromisso, isola a instância, realiza análise forense e restabelece sistemas de cópias limpas; não se esqueça de mudar credenciais administrativas e rotar credenciais de serviços expostos.
Por último, considere que a rapidez é fundamental. As vulnerabilidades de gestão, por sua natureza, permitem movimentos laterais rápidos dentro de redes corporativas e facilitam a entrega de cargas daninhas como ransomware. Se a sua organização emprega FortiClient EMS, trata este alerta como prioridade e coordena adesivos, restrições de acesso e atividades de detecção sem demora. Para informações técnicas e atualizações oficiais consulta a ficha do CVE no NVD aqui, o aviso público de Fortinet em FortiGuard aqui e os relatos de seguimento de exposições em Shadowserver e Shodan mencionados acima.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...