Die Schwachstelle CVE-2026-21643 betrifft FortiClient EMS in Version 7.4.4 und wurde intern von Gwendal Guégniaud aus dem Product-Security-Team von Fortinet entdeckt. Es handelt sich um eine SQL-Injection-Lücke, durch die nicht authentifizierte Angreifer beliebigen Code oder Befehle auf ungepatchten Systemen ausführen können. Die Angriffe richten sich gegen die Weboberfläche von FortiClientEMS und kommen mit manipulierten HTTP-Anfragen aus, ohne besonderen Aufwand zu erfordern.
Das Bedrohungsanalyse-Unternehmen Defused meldete am Wochenende, dass die Lücke nach eigenen Daten bereits seit einigen Tagen ausgenutzt wird – obwohl sie auf der KEV-Liste der CISA und anderen Verzeichnissen bekannter ausgenutzter Schwachstellen weiterhin als nicht ausgenutzt geführt wird. Laut Defused schleusen die Angreifer ihre SQL-Anweisungen über den “Site”-Header einer HTTP-Anfrage ein. Über Shodan seien nahezu 1.000 FortiClient-EMS-Instanzen öffentlich erreichbar.
Schließen lässt sich die Lücke durch ein Upgrade auf Version 7.4.5 oder neuer. Fortinet hat seinen Sicherheitshinweis bislang nicht aktualisiert und die Schwachstelle noch nicht als aktiv ausgenutzt markiert. BleepingComputer bat einen Fortinet-Sprecher um eine Bestätigung der Berichte über aktive Angriffe, erhielt jedoch zunächst keine Antwort.
Die Sicherheitsorganisation Shadowserver beobachtet derzeit über 2.000 FortiClient-EMS-Instanzen mit im Internet erreichbarer Weboberfläche, davon mehr als 1.400 IP-Adressen in den USA und in Europa. Eine separate Shodan-Suche zeigt die meisten exponierten Instanzen in den USA.
Schwachstellen in Fortinet-Produkten werden häufig ausgenutzt, um in Unternehmensnetzwerke einzudringen – im Rahmen von Ransomware-Angriffen und Cyberspionage-Kampagnen, oft als Zero-Day-Lücken, solange Patches noch ausstehen. Zuletzt entschärfte Fortinet Zero-Day-Angriffe auf CVE-2026-24858, indem es FortiCloud-SSO-Verbindungen von Geräten mit verwundbaren Firmware-Versionen blockierte.
Bereits im März 2024 hatte die US-Behörde CISA Bundesbehörden angewiesen, eine andere SQL-Injection-Lücke in FortiClient EMS zu schließen, die in Ransomware-Angriffen sowie von der chinesischen staatlich unterstützten Hackergruppe Salt Typhoon zum Eindringen bei Telekommunikationsanbietern genutzt worden war. Insgesamt führt die CISA 24 Fortinet-Schwachstellen als aktiv ausgenutzt, 13 davon wurden in Ransomware-Angriffen eingesetzt.
