CVE-2026-35616 : FortiClient EMS exploité, hotfix urgent

Les faits

Fortinet a publié fin avril 2026 un hotfix d'urgence pour CVE-2026-35616, une vulnérabilité critique d'improper access control (CWE-284) dans FortiClient Enterprise Management Server (EMS). Avec un CVSS de 9.1, la faille permet à un attaquant non authentifié d'exécuter du code ou des commandes arbitraires via des requêtes HTTP forgées, en contournant les protections d'authentification et d'autorisation de l'API.

Le mécanisme racine implique l'utilisation d'en-têtes HTTP d'authentification falsifiés. L'API REST de FortiClient EMS valide les en-têtes Authorization avant de servir certaines routes administratives sensibles, mais une faiblesse dans la chaîne de vérification permet à un attaquant de forger des en-têtes qui contournent le contrôle d'accès. Une fois ce barrage levé, l'attaquant accède à des endpoints normalement réservés aux administrateurs et peut déclencher des actions arbitraires : déploiement de configurations malveillantes vers les endpoints clients, manipulation de la base d'inventaire, et dans certains cas exécution de commandes au niveau du serveur EMS lui-même.

FortiClient EMS est la console de management centralisée pour les déploiements FortiClient en entreprise. Elle permet de pousser des configurations, des politiques de sécurité, des règles d'antivirus et de VPN sur des centaines ou milliers de postes clients. Compromettre une instance EMS revient donc à prendre le contrôle de l'ensemble du parc FortiClient managé : un attaquant peut désactiver l'antivirus, modifier les règles VPN pour rediriger le trafic, ou pousser des fichiers malveillants en se faisant passer pour des mises à jour légitimes.

Les versions affectées sont FortiClient EMS 7.4.5 et 7.4.6, soit la branche stable la plus récente déployée en entreprise. La branche 7.2 n'est pas vulnérable. Fortinet a publié un hotfix pour les versions 7.4.5 et 7.4.6, et prévoit l'intégration définitive du correctif dans la version 7.4.7 attendue dans les jours qui viennent. Les clients sous contrat de support FortiCare reçoivent le hotfix via leur portail habituel.

Côté exploitation, watchTowr a documenté les premières tentatives d'exploitation observées le 31 mars 2026, soit un mois avant la divulgation publique. Cela confirme une fois de plus le pattern observé sur Fortinet : les vulnérabilités critiques sont généralement exploitées en zero-day par des opérateurs spécialisés, qui ciblent en priorité les déploiements EMS exposés sur Internet pour l'administration distante. CISA a ajouté CVE-2026-35616 à son catalogue Known Exploited Vulnerabilities le 6 avril 2026, imposant aux agences fédérales américaines une remédiation au 9 avril, soit moins de 72 heures.

Le contexte fortinet est lourd. Le constructeur enchaîne depuis deux ans les vulnérabilités critiques dans FortiOS, FortiClient EMS et FortiManager : CVE-2024-21762, CVE-2024-55591, CVE-2025-32756, et désormais CVE-2026-35616. À chaque fois, le pattern est identique — exploitation observée plusieurs semaines avant divulgation, ciblage par des opérateurs ransomware spécialisés (Black Basta, Akira), et difficulté pour les équipes opérationnelles à patcher rapidement des appliances en frontal.

Les opérateurs identifiés sur les premières exploitations utilisent un pattern reconnaissable : scan massif des plages IP d'entreprise sur le port 8013/TCP (port d'administration EMS par défaut), test rapide de la vulnérabilité avec une requête forgée minimale, puis si succès dépôt d'un implant persistant via les fonctionnalités légitimes de déploiement. Sur certaines compromissions documentées, les attaquants ont exfiltré la base de données EMS contenant l'ensemble des configurations clients, des certificats, et des identifiants de domaine intégrés.

Au-delà du patch immédiat, la question stratégique est posée : pourquoi exposer une console d'administration centrale comme FortiClient EMS sur Internet ? Les bonnes pratiques recommandent depuis dix ans de placer ce type de console derrière un VPN ou un bastion. Pourtant, Shodan recense plusieurs milliers d'instances EMS exposées publiquement, principalement chez des MSSP et des entreprises ETI ayant choisi la facilité opérationnelle au détriment de la posture de sécurité.

Impact et exposition

Le périmètre d'exposition couvre toute organisation qui exploite FortiClient EMS 7.4.5 ou 7.4.6 avec exposition réseau de l'interface d'administration, principalement sur les ports 443/TCP et 8013/TCP. Les conditions d'exploitation sont triviales — pas d'authentification, pas d'interaction utilisateur, simple requête HTTP forgée. La compromission d'une instance EMS donne le contrôle de tous les endpoints managés (centaines à milliers de postes selon le déploiement). Les MSSP qui mutualisent un EMS pour plusieurs clients sont des cibles particulièrement attractives : une seule compromission ouvre l'accès aux parcs de tous les tenants.

Recommandations

• Appliquer le hotfix Fortinet pour FortiClient EMS 7.4.5 et 7.4.6 sans attendre la version 7.4.7 (procédure de support FortiCare)
• Si patch impossible immédiatement : restreindre l'accès aux ports 443 et 8013 de l'EMS aux IP administratives uniquement (allowlist firewall)
• Auditer les logs EMS pour des requêtes vers les endpoints API admin ne provenant pas d'utilisateurs authentifiés ou contenant des en-têtes Authorization malformés
• Vérifier l'intégrité des configurations poussées sur les endpoints depuis le 31 mars 2026 : recherche de modifications inattendues de règles VPN, désactivation d'antivirus, ajouts d'exclusions
• Pour les MSSP : isoler temporairement les tenants jusqu'à validation post-patch, et notifier les clients d'un audit en cours
• À moyen terme : sortir l'interface d'administration de FortiClient EMS du Net public, la placer derrière un bastion ou VPN d'administration dédié