Empresas de inteligencia de amenazas advierten que ciberdelincuentes han
comenzado a explotar una vulnerabilidad crítica en Fortinet FortiClient EMS.
FortiClient EMS, un servidor de administración centralizado, permite a las
organizaciones implementar, configurar y supervisar los endpoints de
FortiClient en sus entornos. También admite implementaciones multiusuario, lo
que permite administrar múltiples sitios de clientes desde una única
instancia.
Identificada como
CVE-2026-21643, esta vulnerabilidad, ahora explotada,
se describe como un problema de inyección SQL que puede explotarse de forma
remota, sin autenticación, mediante solicitudes HTTP especialmente diseñadas.
Fortinet señala en su aviso que la explotación exitosa de esta
vulnerabilidad podría conducir a la ejecución de código o comandos
arbitrarios.
>
El fallo de seguridad afecta a la versión 7.4.4 de FortiClient EMS y se
corrigió a principios de febrero en la versión 7.4.5. Según Fortinet, la
vulnerabilidad se descubrió internamente. Un mes después de su divulgación
pública, la empresa de ciberseguridad Bishop Fox publicó información técnica
sobre la vulnerabilidad, advirtiendo que era factible explotarla.
«Nuestro análisis muestra que los atacantes pueden aprovechar el punto
final /api/v1/init_consts, de acceso público, para activar la inyección SQL
antes de la autenticación. Dado que este punto final devuelve mensajes de
error de la base de datos y carece de protecciones de bloqueo, los atacantes
pueden extraer rápidamente datos confidenciales de implementaciones
multiusuario vulnerables de FortiClient EMS 7.4.4»,
advirtió Bishop Fox.
Según la empresa de ciberseguridad, el problema se introdujo en la versión
7.4.4 mediante un rediseño de la pila de middleware y la capa de
conexión a la base de datos, lo que provocó que los encabezados de
identificación HTTP se enviaran a una consulta de base de datos sin
sanitización, antes de la autenticación.
Esto permite a un atacante ejecutar código SQL arbitrario contra la base de
datos y acceder a las credenciales de administrador, el inventario de puntos
finales, las políticas de seguridad y los certificados de los puntos finales.
Se ha publicado en línea una prueba de concepto (PoC) que aprovecha la
vulnerabilidad. Durante el fin de semana,
Defused advirtió
que la vulnerabilidad CVE-2026-21643 había sido explotada durante al menos
cuatro días y que aproximadamente 1000 implementaciones de FortiClient EMS
estaban expuestas a internet. Al 30 de marzo, la Fundación Shadowserver
rastreaba más de 2.000 instancias accesibles a internet.
Se desconoce cuántas de las implementaciones expuestas son vulnerables, y
Fortinet aún no ha actualizado su aviso para indicar que el fallo ha sido
explotado.
La vulnerabilidad está relacionada con la explotación de fallos de seguridad
anteriores del firewall de Fortinet (CVE-2022-42475, CVE-2023-27997 y
CVE-2024-21762) y requiere que el atacante primero comprometa el producto
objetivo mediante otro defecto de seguridad.