CISA 标记 Fortinet、Microsoft、Adobe 中六个正在被利用的漏洞

执行摘要

美国网络安全和基础设施安全局（CISA）已要求联邦机构在2026年5月12日之前修补Fortinet、Microsoft和Adobe产品中的六个安全漏洞，因为这些漏洞已在野外被确认为活跃利用。该指令通过更新CISA的绑定操作指令（BOD）22-01发布，强调了这些漏洞带来的直接风险，包括关键的远程代码执行和权限提升错误。虽然该命令直接适用于美国联邦民用行政部门机构，但CISA强烈敦促所有组织优先进行补救。

技术分析

CISA在其已知被利用漏洞（KEV）目录中新增的六个漏洞涵盖了一系列产品和攻击向量。根据CISA的通知，列表中包括Fortinet的FortiClient企业管理系统（EMS）中的关键SQL注入漏洞，跟踪为CVE-2026-21643，CVSS得分为9.1。这个漏洞可能允许未经身份验证的攻击者在底层服务器上执行任意代码或命令。其余五个漏洞影响Microsoft和Adobe软件，尽管它们的具体CVE标识符在可用的源材料中没有详细说明。CISA引用的利用证据的性质没有公开披露，但纳入KEV目录需要可靠地确认漏洞正在被威胁行为者利用。

入侵指标

目前没有识别出任何入侵指标。

战术、技术与程序

公共CISA公告中没有详细说明威胁行为者利用这些漏洞所使用的特定战术、技术和程序（TTPs）。然而，这些漏洞的类型——SQL注入和广泛部署的操作系统和应用软件中未指定的漏洞——通常与初始访问和权限提升技术相一致。攻击者可能会扫描未修补的、面向互联网的FortiClient EMS、Microsoft和Adobe产品的实例，以获得立足点。后续行动将取决于攻击者的目标，可能包括数据盗窃、勒索软件部署或建立持久访问。

威胁行为者背景

CISA公告没有将利用活动归因于任何特定的威胁行为者或团体。对多个供应商的常见企业软件的广泛目标表明，这些漏洞可能被一系列行为者利用，从网络犯罪集团到国家支持的高级持续性威胁（APTs）。公共通知中缺乏归因对于KEV条目来说是常见的，因为主要关注点是快速漏洞补救，而不是详细说明归因，后者通常依赖于机密情报。

缓解措施与建议

最主要的和最关键的缓解措施是立即应用所有六个漏洞的相关供应商安全更新。CISA为联邦机构设定了2026年5月12日的绑定补丁截止日期。所有其他组织应将此时间线视为紧急最佳实践指南。具体来说，管理员应该：

• 优先修补FortiClient EMS针对CVE-2026-21643的补丁。
• 应用Microsoft和Adobe针对其他五个未指定CVE的最新安全更新。
• 如果无法立即修补，实施供应商推荐的变通方法或缓解措施，例如限制对管理接口的网络访问。
• 主动在运行这些产品的系统上寻找妥协迹象，重点关注异常网络连接、意外进程和可疑账户活动。