A plataforma FortiClient EMS da Fortinet está a ser alvo de ataques ativos devido a uma vulnerabilidade crítica de injeção de SQL. Segundo os dados revelados pela empresa de inteligência de ameaças Defused, os atacantes já começaram a explorar este problema para comprometer sistemas não atualizados. A vulnerabilidade, registada na base de dados nacional detalhada pelo NVD, permite a execução de comandos maliciosos de forma remota.
O problema foi descoberto internamente por Gwendal Guégniaud, membro da equipa de segurança da fabricante, que já publicou um aviso no portal da FortiGuard. A falha afeta a versão 7.4.4 do FortiClient EMS e exige uma atualização imediata para a versão 7.4.5 ou superior para mitigar os riscos.
O mecanismo da exploração e sistemas expostos
Rastreada como CVE-2026-21643, esta vulnerabilidade permite que agentes maliciosos não autenticados executem códigos arbitrários através de ataques de baixa complexidade. O alvo principal é a interface web do FortiClient EMS, onde os atacantes conseguem introduzir comandos SQL através do cabeçalho de site num simples pedido HTTP modificado para o efeito.
De acordo com a monitorização do grupo de segurança Shadowserver, existem atualmente mais de 2.000 instâncias do FortiClient EMS com as suas interfaces expostas online. Destas, mais de 1.400 encontram-se localizadas nos Estados Unidos e na Europa. Uma pesquisa paralela no motor de busca Shodan corrobora a existência de centenas de sistemas vulneráveis e acessíveis publicamente.
O histórico de ameaças e o impacto nas redes empresariais
Apesar das evidências de exploração ativa observadas nos últimos dias, a vulnerabilidade ainda não foi marcada como ativamente explorada nas listas oficiais da CISA. No entanto, o histórico mostra que os produtos da empresa são frequentemente escolhidos como porta de entrada para redes corporativas, resultando muitas vezes em incidentes de ransomware e campanhas de ciberespionagem, frequentemente aproveitados como dias-zero enquanto as correções estão pendentes.
Este cenário não é inédito e junta-se a outras medidas recentes de mitigação, como o bloqueio de ligações FortiCloud SSO em dispositivos vulneráveis. Há dois anos, em março de 2024, a CISA já tinha ordenado às agências federais a correção de outra vulnerabilidade semelhante no FortiClient EMS. Essa lacuna anterior foi amplamente utilizada pelo Salt Typhoon, um grupo de piratas informáticos patrocinado pelo estado chinês, para comprometer fornecedores de serviços de telecomunicações. A título de contexto sobre a gravidade destas ferramentas corporativas, a CISA já sinalizou no total 24 vulnerabilidades da Citrix como sendo ativamente exploradas, das quais 13 foram diretamente associadas a investidas de ransomware.
Nenhum comentário
Seja o primeiro!