# CVE-2026-21643 — SQL Injection com RCE no Fortinet FortiClient EMS > [!danger] Severidade Crítica — CVSS 9.8 > CVSS: 9.8 (Crítico, v3.1) · AV:N/AC:L/PR:N/UI:N · Vendor: **Fortinet** · Produto: FortiClient EMS · Exploração ativa confirmada · PoC público disponível ## Visão Geral **CVE-2026-21643** é uma vulnerabilidade crítica de **SQL Injection** (CWE-89) no Fortinet FortiClient EMS 7.4.4 que permite a um atacante não autenticado executar código arbitrário remotamente por meio de requisições HTTP especialmente elaboradas. A falha resulta de **neutralização inadequada de elementos especiais em comandos SQL** — uma das classes de vulnerabilidade mais exploradas em ambientes corporativos. A exploração ativa foi confirmada por pesquisadores da Defused em março de 2026. A gravidade é reforçada pela presença de um **proof-of-concept (PoC) público** no GitHub, o que reduz drasticamente a barreira de entrada para atacantes. O [[forticlient-ems|FortiClient EMS]] é amplamente utilizado em organizações que gerenciam o [[forticlient|FortiClient]] para controle de endpoints, VPN e conformidade de segurança. O score CVSS 9.8 reflete as condições ideais de ataque para o invasor: acesso de rede sem autenticação, sem interação do usuário, com impacto total em confidencialidade, integridade e disponibilidade. ## Detalhes Técnicos ### Mecanismo de Exploração A vulnerabilidade existe no processamento de requisições HTTP pelo FortiClient EMS. Parâmetros controlados pelo atacante são inseridos sem sanitização adequada em consultas SQL, permitindo injeção de comandos arbitrários no banco de dados subjacente. A cadeia de exploração documentada: 1. Atacante envia requisição HTTP maliciosa com payload SQL ao endpoint vulnerável 2. O servidor EMS processa a requisição sem validar ou escapar os parâmetros 3. A injeção SQL resulta em execução de comandos no servidor via `xp_cmdshell` (MS SQL) ou equivalente 4. Atacante obtém execução remota de código com privilégios do serviço FortiClient EMS ### PoC Público ``` GitHub: https://github.com/0xBlackash/CVE-2026-21643/blob/main/cve-2026-21643.py ``` A existência do PoC público torna a exploração massiva altamente provável. Organizações que ainda não aplicaram o patch estão em risco imediato. ## Attack Flow ```mermaid graph TB A["Atacante não autenticado<br/>Acesso via rede"] --> B["Requisição HTTP maliciosa<br/>Payload SQL injetado"] B --> C["FortiClient EMS 7.4.4<br/>Processamento sem sanitização"] C --> D["SQL Injection<br/>CWE-89"] D --> E["Execução de código remoto<br/>Privilégios do serviço"] E --> F["Comprometimento do servidor EMS<br/>Acesso à rede corporativa"] F --> G["Movimento lateral<br/>Endpoints gerenciados"] style A fill:#c0392b,color:#fff style D fill:#e74c3c,color:#fff style E fill:#e74c3c,color:#fff style F fill:#922b21,color:#fff ``` ## Exploração Ativa > [!high] Exploração Ativa Confirmada — 30/31 mar 2026 > Pesquisadores da Defused confirmaram exploração ativa no campo. PoC público disponível no GitHub acelera a janela de risco para organizações não atualizadas. A combinação de **exploração ativa + PoC público + CVSS 9.8** coloca este CVE na categoria de máxima prioridade de remediação. O histórico de vulnerabilidades Fortinet mostra que ataques em escala ocorrem tipicamente 24-72h após a publicação de PoCs públicos. Referências à exploração: - Defused researchers: exploração ativa confirmada via logs de honeypot e telemetria - Advisory Fortinet: `FG-IR-25-1142` ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | [[_fortinet\|Fortinet]] | FortiClient EMS | 7.4.4 | Aguardar advisory oficial | ## Impacto Potencial Um atacante que explore CVE-2026-21643 com sucesso obtém: - **Execução remota de código** no servidor FortiClient EMS sem autenticação - **Acesso ao banco de dados** com possibilidade de exfiltração de dados de endpoints gerenciados - **Visibilidade sobre todos os endpoints** gerenciados pelo EMS (inventário, configurações, estado de conformidade) - **Ponto de pivô** para movimento lateral — o EMS tem comunicação privilegiada com todos os endpoints FortiClient na rede ## Mitigação **Patch oficial:** - Advisory: [FG-IR-25-1142](https://fortiguard.fortinet.com/psirt/FG-IR-25-1142) - Aplicar o patch assim que disponível pelo Fortiguard **Mitigações temporárias:** - Restringir acesso ao FortiClient EMS a IPs de gerenciamento confiáveis via firewall - Implementar Web Application Firewall (WAF) na frente do EMS para bloquear payloads SQL - Monitorar logs de acesso HTTP ao EMS para padrões anômalos - Isolar o servidor EMS da rede corporativa ampla até aplicação do patch - Verificar integridade do servidor EMS — possível comprometimento anterior ## LATAM / Brasil O [[forticlient-ems|FortiClient EMS]] é amplamente adotado no Brasil em organizações que utilizam a suíte [[_fortinet|Fortinet]] para gestão de endpoints e VPN. Os setores mais expostos incluem: - **[[financial|Setor Financeiro]]:** bancos, seguradoras e fintechs com flotas de endpoints gerenciados - **[[government|Governo]]:** órgãos federais e estaduais com solução Fortinet - **[[healthcare|Saúde]]:** hospitais e planos de saúde com acesso remoto via FortiClient - **[[technology|Tecnologia]]:** MSPs (provedores de serviços gerenciados) que oferecem FortiClient para clientes A ausência de autenticação como pré-requisito torna qualquer servidor EMS com porta 443 exposta à internet um alvo imediato. ## Referências - [Fortiguard Advisory FG-IR-25-1142](https://fortiguard.fortinet.com/psirt/FG-IR-25-1142) - [Security Affairs — CVE-2026-21643](https://securityaffairs.com/190158/security/critical-fortinet-forticlient-ems-flaw-exploited-for-remote-code-execution.html) - [SecurityWeek — Exploitation Begins](https://www.securityweek.com/exploitation-of-critical-fortinet-forticlient-ems-flaw-begins/) - [PoC — GitHub 0xBlackash](https://github.com/0xBlackash/CVE-2026-21643/blob/main/cve-2026-21643.py) ## Notas Relacionadas **Vendor:** [[_fortinet|Fortinet]] **Produto:** [[forticlient-ems|FortiClient EMS]] · [[forticlient|FortiClient]] **TTPs:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1505-server-software-component|T1505 - Server Software Component]] **Setores em risco:** [[financial|Financeiro]] · [[government|Governo]] · [[healthcare|Saúde]] · [[technology|Tecnologia]] **CVEs relacionados:** [[cve-2024-23108|CVE-2024-23108]] · [[cve-2023-27997|CVE-2023-27997]]