Im Zentrum der Angriffe steht CVE-2026-21643, eine SQL-Injection-Schwachstelle in Fortinet FortiClient EMS. Der Fehler lässt sich aus der Ferne und ohne vorherige Authentifizierung über speziell gestaltete HTTP-Anfragen auslösen. Laut der Sicherheitsmeldung von Fortinet kann eine erfolgreiche Ausnutzung zur Ausführung beliebigen Codes oder beliebiger Befehle führen.

FortiClient EMS dient als zentraler Verwaltungsserver, über den Organisationen ihre FortiClient-Endpunkte ausrollen, konfigurieren und überwachen. Das Produkt unterstützt mandantenfähige Installationen, sodass sich mehrere Kundenstandorte aus einer einzigen Instanz heraus betreuen lassen.

Betroffen ist die Version 7.4.4. Fortinet schloss die Lücke Anfang Februar mit Version 7.4.5 und gibt an, die Schwachstelle intern entdeckt zu haben.

Einen Monat nach der öffentlichen Bekanntgabe veröffentlichte das Sicherheitsunternehmen Bishop Fox technische Details und stufte den Fehler als praktisch ausnutzbar ein. Nach dessen Analyse können Angreifer den öffentlich erreichbaren Endpunkt /api/v1/init_consts missbrauchen, um die SQL-Injection bereits vor der Authentifizierung auszulösen. Da dieser Endpunkt Datenbank-Fehlermeldungen zurückgebe und keine Sperrmechanismen besitze, ließen sich aus verwundbaren mandantenfähigen Installationen von FortiClient EMS 7.4.4 rasch sensible Daten auslesen.

Die Schwäche wurde laut Bishop Fox in Version 7.4.4 durch eine überarbeitete Middleware-Schicht und Datenbankanbindung eingeführt: HTTP-Kennungs-Header wurden ohne Bereinigung und vor der Authentifizierung an eine Datenbankabfrage übergeben. Dadurch kann ein Angreifer beliebigen SQL-Code gegen die Datenbank ausführen und auf Administrator-Zugangsdaten, das Inventar der Endpunkte, Sicherheitsrichtlinien sowie Endpunkt-Zertifikate zugreifen. Proof-of-Concept-Code für die Schwachstelle wurde bereits online veröffentlicht.

Über das Wochenende meldete Defused, dass CVE-2026-21643 seit mindestens vier Tagen ausgenutzt werde und rund 1.000 FortiClient-EMS-Installationen aus dem Internet erreichbar seien. Die Shadowserver Foundation zählte zum 30. März über 2.000 aus dem Internet erreichbare Instanzen.

Wie viele der exponierten Installationen tatsächlich verwundbar sind, ist unklar. Fortinet hat seine Sicherheitsmeldung bislang nicht aktualisiert, um den Fehler als ausgenutzt zu kennzeichnen. SecurityWeek hat den Hersteller um eine Stellungnahme zur Ausnutzung gebeten.