Theo công ty tình báo về mối đe dọa Defused, các tin tặc hiện đang tích cực khai thác một lỗ hổng nghiêm trọng trong nền tảng FortiClient EMS của Fortinet.
Được theo dõi với mã định danh CVE-2026-21643, lỗ hổng SQL injection này cho phép các tác nhân đe dọa không được xác thực có thể thực thi mã hoặc chạy các lệnh tùy ý trên các hệ thống chưa vá lỗi thông qua các cuộc tấn công có độ phức tạp thấp, nhắm mục tiêu vào FortiClientEMS GUI (giao diện web) thông qua các yêu cầu HTTP độc hại.
Đáng chú ý, kẻ tấn công có thể bí mật chèn các câu lệnh SQL thông qua tiêu đề “Site” bên trong yêu cầu HTTP. Theo Shodan, gần 1000 trường hợp Forticlient EMS đang bị phơi bày công khai.
Lỗ hổng CVE-2026-21643 được phát hiện nội bộ bởi nhà nghiên cứu Gwendal Guégniaud thuộc nhóm Bảo mật sản phẩm của Fortinet, ảnh hưởng đến FortiClient EMS phiên bản 7.4.4 và có thể được vá bằng cách nâng cấp lên phiên bản 7.4.5 trở lên.
Fortinet hiện vẫn chưa cập nhật thông báo bảo mật và đánh dấu lỗ hổng này đang bị khai thác trên thực tế. Tổ chức giám sát an ninh mạng Shadowserver đang theo dõi hơn 2.000 máy chủ FortiClientEMS GUI trên Internet, với hơn 1.400 địa chỉ IP tại Mỹ và châu Âu.
Phần mềm quản lý dịch vụ đám mây FortiClient EMS bị lộ thông tin trực tuyến
Các lỗ hổng bảo mật của Fortinet thường bị khai thác để xâm nhập mạng lưới doanh nghiệp trong các cuộc tấn công mã độc tống tiền và các chiến dịch gián điệp mạng (thường là các lỗi zero-day trong khi các bản vá vẫn đang chờ xử lý).
Gần đây nhất, Fortinet đã giảm thiểu các cuộc tấn công zero-day CVE-2026-24858 bằng cách chặn các kết nối SSO của FortiCloud từ các thiết bị chạy phiên bản firmware dễ bị tổn thương.
Hai năm trước, vào tháng 3/2024, Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã ra lệnh cho các cơ quan liên bang vá một lỗ hổng tấn công SQL injection khác của FortiClient EMS, lỗ hổng này bị khai thác trong các cuộc tấn công mã độc tống tiền và được thực hiện bởi Salt Typhoon, một nhóm tin tặc Trung Quốc, để xâm nhập vào các nhà cung cấp dịch vụ viễn thông.
Tổng cộng, CISA đã cảnh báo về 24 lỗ hổng bảo mật của Fortinet đang bị khai thác tích cực, trong đó 13 lỗ hổng được sử dụng trong các cuộc tấn công mã độc tống tiền.