La vulnerabilidad CVE-2026-21643 permite ejecución remota de código sin autenticación vía header HTTP. Defused confirma explotación en curso mientras aproximadamente 2.000 instancias permanecen accesibles desde Internet.
Fortinet confirmó que la vulnerabilidad crítica CVE-2026-21643 en FortiClientEMS está siendo explotada activamente en ataques contra servidores de administración de endpoints en todo el mundo. La falla, clasificada con CVSS 9.8, permite a un atacante no autenticado ejecutar código remoto mediante inyección SQL a través de peticiones HTTP especialmente diseñadas.
Investigadores de la firma Defused detectaron la primera explotación en la naturaleza aproximadamente cuatro días antes de su reporte público, mientras que aproximadamente 2.000 instancias de FortiClientEMS permanecen expuestas directamente a Internet según datos de Shadowserver.
La vulnerabilidad afecta específicamente la versión 7.4.4 de FortiClientEMS, la plataforma de gestión centralizada que las empresas utilizan para desplegar y administrar agentes FortiClient en sus flotas de dispositivos. Según el advisory oficial de Fortinet, la falla consiste en una neutralización incorrecta de elementos especiales en comandos SQL, catalogada como CWE-89 que permite a un atacante remoto sin credenciales ejecutar código arbitrario en el servidor comprometido.
El vector de ataque identificado aprovecha el header HTTP "Site" para introducir sentencias SQL maliciosas que el sistema ejecuta sin validación adecuada.
El registro CVE-2026-21643 en NIST confirma la gravedad extrema, el vector CVSS 3.1 muestra un escenario de explotación por red con complejidad baja, sin requerir privilegios previos ni interacción del usuario, con impacto alto en confidencialidad, integridad y disponibilidad. Esto significa que cualquier servidor FortiClientEMS 7.4.4 con su interfaz web accesible desde Internet es vulnerable a una toma de control completa sin que el atacante necesite credenciales ni engañar a ningún usuario.
La explotación activa fue confirmada por Defused el 28 de marzo a través de un reporte en redes sociales, donde la compañía señaló que la vulnerabilidad aún no aparece en los catálogos KEV de CISA ni en otras listas públicas de vulnerabilidades explotadas.
Los datos de Shadowserver indican que Estados Unidos concentra la mayor cantidad de instancias expuestas con 756 servidores, seguido por Europa con 683. Shodan registra más de 1.000 interfaces de FortiClientEMS accesibles públicamente, muchas de las cuales probablemente siguen sin parchear.
Fortinet publicó el parche correctivo el pasado mes de febrero, liberando la versión 7.4.5 que soluciona la vulnerabilidad. Sin embargo, la brecha temporal entre la disponibilidad del fix y la explotación activa demuestra el patrón recurrente en ciberseguridad: los administradores de sistemas frecuentemente subestiman la ventana de exposición cuando las interfaces de gestión permanecen accesibles desde Internet sin restricciones de acceso.
Las organizaciones que operan FortiClientEMS deben actualizar inmediatamente a la versión 7.4.5 o superior, restringir el acceso a la interfaz de administración mediante VPN o listas de IPs autorizadas, y revisar los registros de acceso en busca de activity sospechosa en el header Site durante las últimas semanas. Cualquier servidor que haya estado expuesto sin el parche debe tratarse como potencialmente comprometido, requiriendo aislamiento, investigación forense y medidas de remediación completas.
FUENTE ORIGINAL
Fortinet PSIRT↗CURADO POR
Alejandro Vargas