【安全资讯】高危Fortinet FortiClient EMS漏洞现已被用于攻击

概要：

网络安全领域再响警报，Fortinet公司的FortiClient EMS平台曝出一个高危SQL注入漏洞（CVE-2026-21643），并已被攻击者积极利用。该漏洞允许未经身份验证的威胁行为者通过低复杂度攻击，在未打补丁的系统上执行任意代码或命令，对全球众多暴露在互联网上的企业网络构成严重威胁。

主要内容：

根据威胁情报公司Defused的警告，攻击者正通过向FortiClient EMS图形用户界面（Web接口）发送恶意构造的HTTP请求，利用‘Site’请求头走私SQL语句，从而利用CVE-2026-21643漏洞。该漏洞由Fortinet产品安全团队的Gwendal Guégniaud内部发现，影响7.4.4版本，可通过升级至7.4.5或更高版本来修补。

互联网安全监督组织Shadowserver目前正在追踪超过2000个Web接口暴露在线的FortiClient EMS实例，其中超过1400个IP位于美国和欧洲。Shodan的搜索也显示了类似数量的暴露实例，突显了攻击面的广泛性。

Fortinet的漏洞经常在勒索软件攻击和网络间谍活动中被利用，以入侵企业网络。此次事件让人联想到两年前，即2024年3月，美国网络安全和基础设施安全局（CISA）曾命令联邦机构修补另一个已被用于勒索软件攻击的FortiClient EMS SQL注入漏洞。

尽管该漏洞尚未被CISA等机构的已知被利用漏洞（KEV）列表标记为已利用，但实际攻击活动已经开始。Fortinet尚未更新其安全公告以标记该漏洞在野被利用的情况，这增加了企业及时响应的紧迫性。