Kritiek SQL Injection-lek in Fortinet FortiClientEMS actief misbruikt bij aanvallen

[Captain Kirk]

Een kritiek SQL Injection-beveiligingslek in Fortinet FortiClientEMS wordt al sinds een aantal dagen actief misbruikt bij aanvallen, zo waarschuwt securitybedrijf Defused. Fortinet kwam op 6 februari van dit jaar met beveiligingsupdates voor het probleem, aangeduid als CVE-2026-21643. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller op kwetsbare systemen code of commando's uitvoeren.

FortiClient EMS is een oplossing waarmee beheerders op afstand systemen kunnen beheren waarop de FortiClient-software draait. Zo is het bijvoorbeeld mogelijk om zaken als antivirussoftware, webfilters, vpn en signature-updates in te stellen. CVE-2026-21643 betreft een kwetsbaarheid in de admin-interface van FortiClientEMS waardoor SQL Injection mogelijk is. Door het versturen van speciaal geprepareerde HTTP requests kan een aanvaller ongeautoriseerde code of commando's uitvoeren, aldus het beveiligingsbulletin van Fortinet, dat geen verdere informatie bevat.

Defused waarschuwde afgelopen zaterdag via X dat het misbruik van CVE-2026-21643 had waargenomen. De aanvallen zouden al zeker sinds 24 maart plaatsvinden. Verdere details zijn echter niet gegeven. Fortinet heeft het misbruik nog niet bevestigd. Twee jaar geleden liet Fortinet wel weten dat misbruik van een andere SQL Injection kwetsbaarheid in FortiClientEMS (CVE-2023-48788) plaatsvond. De Australische overheid riep organisaties destijds op om direct in actie te komen, de patches te installeren en te controleren of systemen al niet zijn gecompromitteerd.

 

bron: https://www.security.nl