En bref

  • CVE-2026-35616 (CVSS 9.1) : contournement d'authentification API dans Fortinet FortiClient EMS permettant l'exécution de code à distance
  • Versions affectées : FortiClient EMS 7.4.5 et 7.4.6 — hotfix disponible, correctif complet prévu en 7.4.7
  • Action urgente : appliquer immédiatement le hotfix Fortinet — exploitation active confirmée depuis le 31 mars 2026

Les faits

Fortinet a publié un correctif d'urgence pour la vulnérabilité CVE-2026-35616, une faille de contournement d'authentification pré-authentification sur l'API de FortiClient Enterprise Management Server. Classée avec un score CVSS de 9.1 sur 10, cette vulnérabilité de type contrôle d'accès inapproprié (CWE-284) permet à un attaquant non authentifié d'exécuter du code ou des commandes arbitraires via des requêtes HTTP spécialement forgées. La faille a été découverte alors qu'elle était déjà exploitée dans la nature, ce qui en fait un véritable zero-day au moment de sa divulgation.

Les premières tentatives d'exploitation ont été détectées dès le 31 mars 2026 sur des honeypots de surveillance, selon les chercheurs de watchTowr. Le 6 avril 2026, la CISA a ajouté CVE-2026-35616 à son catalogue KEV (Known Exploited Vulnerabilities), imposant aux agences fédérales américaines un délai de correction fixé au 9 avril 2026. Le CERT-FR a également relayé l'alerte auprès des organisations françaises. FortiClient EMS est largement déployé dans les entreprises pour la gestion centralisée des agents de sécurité Fortinet sur les postes de travail et serveurs.

Impact et exposition

Toute organisation utilisant FortiClient EMS en versions 7.4.5 ou 7.4.6 est directement exposée. L'exploitation ne nécessite aucune authentification préalable : un attaquant distant peut contourner les mécanismes d'autorisation de l'API et obtenir des privilèges élevés sur le serveur EMS. Cela ouvre la voie à l'exécution de commandes sur le système sous-jacent, au déploiement de malwares sur l'ensemble des postes gérés, ou à l'exfiltration de données de configuration sensibles. Les environnements exposés sur Internet sont particulièrement à risque, mais les attaquants ayant un accès réseau interne peuvent également exploiter cette faille. L'exploitation active confirmée par Fortinet, la CISA et plusieurs équipes de recherche en sécurité rend cette vulnérabilité critique pour toute infrastructure utilisant la suite Fortinet.

Recommandations immédiates

  • Appliquer immédiatement le hotfix fourni par Fortinet pour FortiClient EMS 7.4.5 et 7.4.6 — Fortinet Security Advisory FG-IR-26-071
  • Planifier la mise à jour vers FortiClient EMS 7.4.7 dès sa disponibilité pour bénéficier du correctif complet
  • Restreindre l'accès réseau au port d'administration de FortiClient EMS aux seules adresses IP autorisées
  • Vérifier les journaux d'accès API de FortiClient EMS pour détecter des requêtes anormales ou non authentifiées depuis le 31 mars 2026
  • Surveiller les indicateurs de compromission publiés par les équipes de recherche et les CERT nationaux

⚠️ Urgence

Exploitation active confirmée depuis le 31 mars 2026. La CISA impose un correctif avant le 9 avril 2026 pour les agences fédérales. Toute organisation utilisant FortiClient EMS 7.4.5 ou 7.4.6 doit appliquer le hotfix sans attendre — les attaquants ciblent activement cette faille pour compromettre les infrastructures de gestion des endpoints.

Comment savoir si mon FortiClient EMS est vulnérable ?

Connectez-vous à la console d'administration FortiClient EMS et vérifiez la version dans le menu À propos ou via la commande CLI. Si votre version est 7.4.5 ou 7.4.6 sans le hotfix appliqué, votre installation est vulnérable. Vérifiez également que le port d'administration n'est pas exposé directement sur Internet en auditant vos règles de pare-feu. Consultez le bulletin Fortinet FG-IR-26-071 pour les détails techniques du hotfix et les instructions d'application.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit