Critical FortiClientEMS Vulnerability Let Attackers Execute Malicious Code Remotely
2026/02/09 CyberSecurityNews — Fortinet が公開したのは、エンドポイント保護の集中管理ソリューション FortiClientEMS のインスタンスに関するセキュリティ・アドバイザリであり、管理者に対して直ちにパッチを適用するよう求めている。この脆弱性 CVE-2026-21643 (CVSSv3:9.1) を悪用する未認証のリモート攻撃者は、影響を受けるサーバ上で任意のコードや不正なコマンドを実行する可能性がある。この欠陥は、SQL インジェクション (SQLi) 脆弱性に分類されるものであり、SQL コマンドで使用される特殊要素の不適切な無効化 (CWE-89) と説明されている。
この脆弱性は、Graphical User Interface (GUI) コンポーネントに存在し、入力値に対する不十分なサニタイズに起因する。攻撃者は細工した HTTP リクエストを送信することで、バックエンドのデータベース・クエリを操作できる状態となる。その結果として、認証のバリアが実質的に回避され、有効な認証情報を必要としない攻撃者による、基盤システムの制御が可能になってしまう。
FortiClientEMS は、組織のネットワーク全体におけるエンドポイント・セキュリティ・ポリシー管理/アンチウイルス展開/コンプライアンス・レポーティングを担う中核的コンポーネントであるため、エンタープライズ環境では特に深刻である。このコンポーネントが侵害された場合には、ネットワーク全体へのラテラル・ムーブメントの足掛かりとなるほか、ランサムウェア展開を許容する可能性がある。
影響を受けるバージョン
Fortinet のアドバイザリによると、この脆弱性は 7.4 系列の特定バージョンに影響を及ぼす。FortiClientEMS 7.4.4 を運用している管理者に対して強く推奨されるのは、速やかなアップグレードである。
公式に案内されている修正手順は、FortiClientEMS 7.4.5 以降へのアップグレードである。その一方で、Fortinet は 8.0/7.2 系列は、この欠陥の影響を受けないことが確認されている。さらに、2026年2月6日のタイムライン更新により、FortiEMS Cloud インスタンスも影響を受けないことが明確化され、SaaS 利用者に対する差し迫った懸念は解消された。
この脆弱性は、Fortinet Product Security チームの Gwendal Guegniaud により社内で発見されたものであり、公開時点では実環境における悪用は確認されていない。しかし、CVSS スコアが 9.1 と極めて高く、攻撃要件も低い CVSS ベクター AV:N/AC:L/PR:N であることから、パッチに対して脅威アクターがリバース・エンジニアリングを行う可能性が高いと考えられる。
この脆弱性は、機密性/完全性/可用性に対する完全な侵害を許容し得るものであり、いずれの要素も High と判定されている。そのため、セキュリティ・チームに対して推奨されるのは、EMS GUI を標的とする不審な HTTP リクエストをログで精査し、パッチ適用が完了するまでは、可能な限り管理インターフェイスをパブリック・インターネットから隔離することである。
Fortinet のエンドポイント管理ソリューション FortiClientEMS で、深刻な脆弱性が発見されました。この問題の原因は、管理画面 (GUI) においてユーザーが入力した情報を、データベースの命令 (SQLクエリ) として処理する際に、その内容を適切にサニタイズしていないことにあります。具体的には、SQLインジェクションと呼ばれる不備が存在し、攻撃者が細工したリクエストを送ることで、バックエンドのデータベースを不正に操作できてしまいます。それにより、未認証のリモート攻撃者がパスワードなしでシステムを完全に制御する恐れがあります。FortiClientEMS は、ネットワーク全体のセキュリティを司る中核的な存在であるため、ここが乗っ取られると、ウイルス感染やデータ流出など、組織全体に被害が広がるリスクがあります。ご利用のチームは、ご注意ください。よろしければ、FortiClientEMS での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.