Według badaczy zajmujących się analizą zagrożeń, nowo ujawniona krytyczna luka w oprogramowaniu zabezpieczającym od firmy Fortinet jest obecnie aktywnie wykorzystywana w środowisku naturalnym, co skłoniło do wydania pilnych ostrzeżeń dla organizacji na całym świecie, aby niezwłocznie zainstalowały poprawki w podatnych systemach.
Luka, oznaczona jako CVE-2026-21643, dotyczy serwera FortiClient Endpoint Management Server (EMS) firmy Fortinet — szeroko stosowanej platformy do zarządzania bezpieczeństwem punktów końcowych w środowiskach korporacyjnych. Analitycy ds. bezpieczeństwa ostrzegają, że luka ta może umożliwić atakującym uzyskanie nieautoryzowanego dostępu i wykonanie złośliwych poleceń na zainfekowanych systemach.
Firma Defused zajmująca się analizą zagrożeń poinformowała w weekend, że atakujący zaczęli wykorzystywać tę lukę zaledwie kilka dni po jej zidentyfikowaniu, mimo że nie pojawiła się ona jeszcze na oficjalnych listach „znanych luk wykorzystywanych” prowadzonych przez agencje rządowe.
Według Defused luka wynika z podatności na wstrzyknięcie kodu SQL w internetowym interfejsie zarządzania FortiClient EMS. Ta słabość umożliwia nieautoryzowanym atakującym wysyłanie specjalnie spreparowanych żądań HTTP, które wstrzykują złośliwe polecenia SQL do systemów zaplecza.
Co istotne, atak nie wymaga uprzedniego uwierzytelnienia i jest uważany za mało skomplikowany, co znacznie zwiększa ryzyko powszechnego wykorzystania luki.
„Atakujący mogą przemycać instrukcje SQL poprzez nagłówek „Site” wewnątrz żądania HTTP” – zauważyli badacze, podkreślając ten nietypowy wektor ataku.
Badacze zajmujący się bezpieczeństwem podnieśli alarm w związku z liczbą narażonych systemów. Dane pochodzące z serwisów skanujących sieć wskazują, że tysiące instancji FortiClient EMS jest dostępnych w Internecie, co czyni je potencjalnymi celami ataków.
Organizacja non-profit Shadowserver poinformowała o wykryciu ponad 2000 narażonych instancji, z których znaczna część znajduje się w Stanach Zjednoczonych i Europie. Dodatkowe skanowania przeprowadzone przez serwis Shodan sugerują, że setki kolejnych systemów mogą być publicznie dostępne.
Taki poziom narażenia znacznie zwiększa prawdopodobieństwo automatycznych kampanii wykorzystujących luki, zwłaszcza że atakujący często skanują w poszukiwaniu podatnych systemów w ciągu kilku godzin od publicznego ujawnienia informacji.
Firma Fortinet potwierdziła, że luka dotyczy oprogramowania FortiClient EMS w wersji 7.4.4. Problem został rozwiązany w wersji 7.4.5 i nowszych, dlatego zdecydowanie zaleca się użytkownikom natychmiastową aktualizację.
Incydent ten wpisuje się w szerszy schemat ataków wymierzonych w produkty firmy Fortinet. W ostatnich latach luki w oprogramowaniu tej firmy były często wykorzystywane w:
- Atakach ransomware
- Włamaniach do sieci korporacyjnych
- Operacjach cyber-szpiegowskich sponsorowanych przez państwa
Urządzenia firmy Fortinet są szczególnie atrakcyjnym celem, ponieważ często znajdują się na obrzeżach sieci przedsiębiorstw, pełniąc rolę bram do infrastruktury krytycznej.
Rząd Stanów Zjednoczonych wydał już wcześniej pilne wytyczne dotyczące luk w zabezpieczeniach Fortinet. W marcu 2024 r. Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) nakazała agencjom federalnym załatać oddzielną lukę typu SQL injection w FortiClient EMS, która została już wykorzystana w kampaniach ransomware.
Ta wcześniejsza luka była również powiązana z atakami grupy Salt Typhoon, chińskiej grupy hakerskiej sponsorowanej przez państwo, która atakowała dostawców usług telekomunikacyjnych.
Do tej pory CISA dodała 24 luki w zabezpieczeniach Fortinet do swojego katalogu znanych luk wykorzystywanych w atakach (KEV) — ponad połowa z nich została wykorzystana w atakach ransomware.
Ostatnie działania wskazują, że cyberprzestępcy coraz częściej wykorzystują luki w zabezpieczeniach produktów Fortinet jako luki typu zero-day, atakując systemy jeszcze przed powszechnym wdrożeniem poprawek.
W innym incydencie, który miał miejsce na początku tego roku, firma Fortinet ograniczyła skutki ataków wykorzystujących inną lukę (CVE-2026-24858) poprzez zablokowanie dostępu do funkcji pojedynczego logowania (SSO) w usłudze FortiCloud z urządzeń podatnych na tę lukę.
Ta tendencja podkreśla rosnące wyzwanie dla osób odpowiedzialnych za ochronę: coraz krótszy czas między wykryciem luki a jej aktywnym wykorzystaniem.
Specjaliści ds. bezpieczeństwa zalecają organizacjom korzystającym z FortiClient EMS podjęcie natychmiastowych działań:
- Aktualizacja do wersji 7.4.5 lub nowszej
- Ograniczenie publicznego dostępu do interfejsów internetowych EMS
- Monitorowanie logów pod kątem nietypowych żądań HTTP, zwłaszcza związanych z manipulacją nagłówkami
- Wdrożenie segmentacji sieci w celu ograniczenia ruchu bocznego
Biorąc pod uwagę aktywne wykorzystywanie tej luki i powszechne narażenie, systemy bez zainstalowanych poprawek mogą zostać szybko przejęte.
Pojawienie się luki CVE-2026-21643 jako aktywnie wykorzystywanej luki podkreśla utrzymujące się zagrożenia dla infrastruktury bezpieczeństwa przedsiębiorstw. Ponieważ atakujący nadal błyskawicznie przechodzą od wykrycia luki do jej wykorzystania, organizacje muszą wprowadzić szybsze cykle instalowania poprawek oraz skuteczniejsze praktyki zarządzania narażeniem.
Ponieważ tysiące systemów nadal pozostaje potencjalnie narażonych, sytuacja pozostaje niepewna — i może ulec eskalacji, jeśli w najbliższych dniach nasilą się zautomatyzowane kampanie ataków.
