Hack Alerta

Fortinet Corrige Falha Crítica no FortiClient EMS que Permite Acesso ao Banco de Dados

Por Redação Hack Alerta Publicado em 18/03/2026 05:02 Vazamento de dados Tempo de leitura: 2 min

Fortinet corrige falha crítica no FortiClient EMS (CVE-2026-21643) que permite SQLi não autenticado, RCE e acesso total ao banco de dados. Versão 7.4.4 afetada. Atualização para 7.4.5 recomendada.

Descoberta e Escopo

A Fortinet lançou uma correção para uma vulnerabilidade crítica identificada como CVE-2026-21643 no FortiClient Endpoint Management Server (EMS). A falha, com pontuação CVSS de 9.1, permite que atacantes não autenticados executem comandos SQL arbitrários e acessem informações sensíveis do banco de dados.

O problema afeta especificamente a versão 7.4.4 do FortiClient EMS quando o modo multi-tenant está ativo. A causa raiz está em uma refatoração de middleware que alterou como a aplicação gerencia conexões de banco de dados e roteamento de inquilinos.

Vetor e Exploração

Pesquisadores da Bishop Fox identificaram que o endpoint publicamente acessível /api/v1/init_consts é o vetor de ataque mais prático. Atacantes podem injetar payloads SQL via o cabeçalho Site se o modo multi-tenant estiver ativo.

O endpoint carece de limitação de taxa e proteções contra força bruta. Além disso, retorna mensagens de erro do PostgreSQL diretamente no corpo da resposta HTTP, permitindo extração rápida de dados ocultos.

Impacto e Alcance

Um ataque bem-sucedido resulta na comprometimento total do banco de dados de gerenciamento. Como o usuário do banco de dados na máquina virtual da Fortinet executa com privilégios de superusuário do PostgreSQL, os atacantes podem alcançar execução remota de código no sistema operacional subjacente.

Eles também podem roubar senhas de administrador, extrair certificados digitais e visualizar o inventário completo de dispositivos gerenciados. Isso permite que atores maliciosos modifiquem políticas de segurança e empurrem configurações maliciosas em toda a rede de endpoints.

Recomendações

A Fortinet abordou esta questão crítica na versão 7.4.5, substituindo a interpolação de strings de formato por manipulação de identificador parametrizado. Organizações usando o FortiClient EMS 7.4.4 devem atualizar imediatamente.

Equipes que não podem aplicar o patch agora devem desabilitar o recurso multi-tenant "Sites" para prevenir a execução do caminho de código vulnerável. Além disso, o acesso web à interface de gerenciamento do EMS deve ser restrito a redes internas confiáveis.

Baseado em publicação original de Cyber Security News
Tags: #=fortinet #sql-injection #cve-2026-21643 #rce #endpoint #segurança #patch #forticlient #ems
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar