Fortinet FortiClient EMS 重大 SQL 注入漏洞已遭攻擊利用，企業應立即修補

資安威脅情報廠商 Defused Cyber 發出警告Fortinet FortiClient Endpoint Management Server（EMS）的一項重大 SQL 注入漏洞 CVE-2026-21643 已遭實際攻擊利用。該漏洞允許未經身分驗證的攻擊者透過惡意 HTTP 請求，在未修補的系統上執行任意程式碼或指令。

攻擊活動早於官方確認

Defused Cyber 指出：「CVE-2026-21643 目前在 CISA 及其他已知遭利用漏洞（KEV）清單上仍標記為未遭利用，但根據我們的資料，首次攻擊利用已在四天前發生。」該公司表示，攻擊者可透過 HTTP 請求中的「Site」標頭夾帶 SQL 指令進行攻擊。

Fortinet 尚未更新其資安公告將該漏洞標記為已遭實際利用。截至目前，Fortinet 也尚未回應媒體關於攻擊活動的詢問。

漏洞成因與技術細節

CVE-2026-21643 由 Fortinet 產品安全團隊的 Gwendal Guégniaud 內部發現，成因為 SQL 指令中特殊元素的不當中和處理。遠端未經身分驗證的攻擊者可向暴露於網際網路的 FortiClient EMS 管理介面發送特製 HTTP 請求，藉此執行未經授權的程式碼或指令。

資安研究機構 Bishop Fox 於 2026 年 3 月初發布技術分析，指出漏洞的實際利用路徑。研究人員說明：「FortiClient EMS 的多租戶部署功能可讓單一實例管理多個客戶站點。7.4.4 版在重構中介軟體與資料庫連線層時引入重大漏洞： 在登入驗證之前，識別租戶的 HTTP 標頭就已未經過濾直接傳入資料庫查詢。」

Bishop Fox 進一步指出：「能夠透過 HTTPS 連線至 EMS 網頁介面的攻擊者無需任何憑證即可利用此漏洞。單一包含特製標頭值的 HTTP 請求，就足以對後端 PostgreSQL 資料庫執行任意 SQL 指令。這使攻擊者能夠存取管理員憑證、端點清單資料、安全原則，以及受管端點的憑證。」

受影響版本與修補建議

CVE-2026-21643 僅影響執行 FortiClient EMS 7.4.4 版的部署環境。根據 Fortinet 公告，FortiClient EMS 7.2 及 8.0 分支不受影響。該漏洞已於 2025 年 12 月在 7.4.5 版中修復。

Bishop Fox 研究人員建議，執行 FortiClient EMS 7.4.4 版且啟用多租戶模式的組織應立即升級至 7.4.5 版。研究人員補充：「單一站點部署不受影響。」

曝險規模與歷史攻擊脈絡

根據 Defused Cyber 引用的 Shodan 資料，目前有近 1,000 台 FortiClient EMS 實例公開暴露於網際網路。網際網路安全監控組織 Shadowserver 則追蹤到超過 2,000 台 FortiClient EMS 設備的網頁介面暴露於線上，其中逾 1,400 個 IP 位於美國與歐洲。目前無法確知這些暴露設備中有多少正執行易受攻擊的軟體版本並啟用多租戶模式。

Fortinet 產品漏洞經常被利用於勒索軟體攻擊與網路間諜活動中，有時甚至在修補程式發布前就已遭零時差攻擊利用。CISA 迄今已將 24 個 Fortinet 漏洞標記為遭實際利用，其中 13 個曾被用於勒索軟體攻擊。兩年前的 2024 年 3 月，CISA 曾要求聯邦機構修補另一個 FortiClient EMS SQL 注入漏洞，該漏洞曾被用於勒索軟體攻擊，也被中國國家級駭客組織 Salt Typhoon 利用來入侵電信服務供應商。

鑑於 CVE-2026-21643 的威脅性，使用 FortiClient EMS 的組織應立即確認版本並升級至已修補版本，同時檢視系統是否有遭入侵的跡象。