Segui 
Poco dopo la nostra recente copertura dello sfruttamento di un zero-day ad alto impatto di FortiOS SSO (CVE-2026-24858), i difensori sono di fronte a un’altra priorità urgente nella patching all’interno dell’ecosistema Fortinet. Il 6 febbraio, Fortinet ha rilasciato una correzione per una grave vulnerabilità di SQL injection che può essere attivata da remoto e non richiede autenticazione, potenzialmente conducendo a esecuzione non autorizzata di codice o comandi.
Sebbene attualmente non vi siano segni di sfruttamento in corso, CVE-2026-21643 richiede immediata attenzione e patching poiché l’SQL injection rimane una delle classi di vulnerabilità web più pericolose. OWASP Top 10 2025 collega Injection a 62.445 CVE noti, inclusi più di 14.000 problemi di SQL injection. Il rischio è diretto. Se un’applicazione consente a input non fidati di raggiungere l’interprete del database, un attaccante può far eseguire al database comandi non previsti, rubare o modificare dati e, in alcuni casi, portare al compromesso completo del sistema.
Iscriviti alla piattaforma SOC Prime per accedere all’intelligence di rilevazione in tempo reale e casi d’uso pronti all’uso per rischi emergenti come lo sfruttamento delle vulnerabilità. Clicca Esplora Rilevazioni per visualizzare la collezione completa di regole filtrate con il tag “CVE”.
Tutte le regole sono compatibili con diverse piattaforme SIEM, EDR e Data Lake e sono mappate al framework MITRE ATT&CK®. Ogni regola include CTI link, linee temporali degli attacchi, impostazioni di audit, guida per il triage e altri metadati rilevanti.
I difensori informatici possono anche utilizzare Uncoder AI per potenziare i loro flussi di lavoro di ingegneria del rilevamento. Genera algoritmi di rilevazione da rapporti di minacce grezzi, abilita rapide scansioni IOC, predici tag ATT&CK, ottimizza il codice delle query con suggerimenti AI e traducilo in più lingue SIEM, EDR e Data Lake.
Analisi di CVE-2026-21643
Il 6 febbraio 2026, Fortinet ha rilasciato un avviso descrivendo CVE-2026-21643 come una neutralizzazione impropria di elementi speciali usati in un comando SQL (SQL Injection) in FortiClient EMS, dove un attaccante remoto può inviare richieste HTTP appositamente create per attivare la vulnerabilità. Poiché il problema è pre-auth, un’interfaccia amministrativa EMS esposta o accessibile diventa un obiettivo di alto valore per l’accesso iniziale, potenzialmente portando a una rapida presa di posizione, strumenti successivi e movimento laterale da un sistema che spesso ha un’ampia visibilità sugli endpoint.
CVE-2026-21643 ottiene un punteggio CVSS critico di 9.8, evidenziando la necessità urgente di patching. La buona notizia per i difensori è che l’ambito è chiaro. L’avviso di Fortinet evidenzia che solo FortiClientEMS 7.4.4 è interessato e che l’aggiornamento a 7.4.5 o successivo risolve il problema, mentre 7.2 e 8.0 non sono interessati.
Rafforzare strategie di cybersecurity proattive è cruciale per ridurre il rischio di sfruttamento. Sfruttando la piattaforma di intelligenza de rilevazione AI-Nativa di SOC Prime per la difesa cibernetica di livello enterprise, le organizzazioni possono ampliare le operazioni di rilevamento e rafforzare la loro postura di sicurezza. Registrati ora per migliorare la visibilità sulle minacce più rilevanti per il tuo business e per accelerare la risposta quando emergono nuove minacce critiche come CVE-2026-21643.
FAQ
Cos’è CVE-2026-21643 e come funziona?
CVE-2026-21643 è una vulnerabilità critica di SQL injection in Fortinet FortiClientEMS 7.4.4. Il problema è causato da una gestione impropria dei caratteri speciali nei comandi SQL, quindi un attaccante remoto può inviare richieste HTTP appositamente create e potenzialmente eseguire codice o comandi non autorizzati.
Quando è stato scoperto per la prima volta CVE-2026-21643?
Fortinet ha rilasciato un avviso che descrive CVE-2026-21643 il 6 febbraio 2026, che è anche il giorno in cui la vulnerabilità è stata registrata da NVD. Gwendal Guégniaud del team di sicurezza dei prodotti Fortinet è stato accreditato per aver scoperto e segnalato la vulnerabilità.
Quali rischi presenta CVE-2026-21643 per i sistemi?
Il rischio principale è il compromesso remoto del server FortiClient EMS. Se un’istanza EMS vulnerabile è raggiungibile, un attaccante può abusare dell’SQL injection tramite richieste HTTP appositamente create per eseguire azioni non autorizzate e potenzialmente scalare per eseguire codice o comandi. Ciò può portare ad accesso o manomissione dei dati, interruzione del servizio e una presa di posizione che può essere utilizzata per penetrare più a fondo nell’ambiente.
CVE-2026-21643 può ancora colpirmi nel 2026?
Sì, se stai utilizzando FortiClient EMS 7.4.4 e non hai applicato la correzione. Fortinet afferma che il problema è risolto nella versione 7.4.5 e successive e osserva che le versioni 7.2 e 8.0 non sono interessate.
Come puoi proteggerti da CVE-2026-21643?
Aggiorna FortiClient EMS alla versione 7.4.5 o successiva e limita l’accesso all’interfaccia web EMS solo alle reti amministrative fidate. Fino al completamento del patching, aumenta il monitoraggio sull’host EMS e sul suo traffico web per richieste insolite e attività di processo inattese.
