CVE-2026-35616 : RCE non-auth FortiClient EMS (CVSS 9.8)

Les faits

CVE-2026-35616 est une vulnérabilité critique de type contournement d'authentification (authentication bypass) dans l'API de Fortinet FortiClient Enterprise Management Server (EMS), classée CWE-284 (Improper Access Control). Avec un score CVSS v3.1 de 9.8 (Critical), elle constitue l'une des failles les plus sévères découvertes dans l'écosystème Fortinet depuis plusieurs années. Son exploitation permet à un attaquant non authentifié d'envoyer des requêtes API spécialement forgées pour contourner intégralement les mécanismes d'authentification et d'autorisation du serveur, obtenant ainsi des droits d'exécution de code arbitraire sur le système hébergeant FortiClient EMS — sans aucun identifiant valide ni interaction utilisateur requise.

La découverte de l'exploitation active de CVE-2026-35616 est le fait de watchTowr, une firme de sécurité spécialisée dans les honeypots et la détection précoce des menaces. Le 31 mars 2026, leurs capteurs ont enregistré des tentatives d'exploitation ciblant cette vulnérabilité, plusieurs jours avant que Fortinet ne publie son advisory officiel le 4 avril 2026. Cette séquence révèle une exploitation zero-day pure : les attaquants disposaient d'un exploit fonctionnel avant même que le vendeur n'ait publié de correctif ou d'avertissement. Le 6 avril 2026, la CISA a ajouté CVE-2026-35616 à son catalogue KEV, confirmant l'exploitation active dans des environnements de production réels.

Sur le plan technique, la faille réside dans l'API REST de FortiClient EMS, le composant serveur central qui orchestre les politiques de sécurité, les configurations et les déploiements pour l'ensemble des agents FortiClient dans une organisation. Un contrôle d'accès manquant ou insuffisant sur certains endpoints de l'API permet à un attaquant distant de soumettre des requêtes normalement réservées aux administrateurs authentifiés. Une fois l'accès obtenu via ce bypass, il peut exécuter des commandes arbitraires sur le serveur sous-jacent, potentiellement avec les privilèges du service FortiClient EMS — typiquement des droits élevés sur le serveur Windows ou Linux hébergeant l'application.

Le vecteur CVSS (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) traduit une exploitabilité maximale : accès réseau direct, complexité faible, aucun privilège requis, aucune interaction utilisateur nécessaire. Cette combinaison signifie qu'un script d'exploitation basique peut compromettre n'importe quelle instance FortiClient EMS 7.4.5 ou 7.4.6 accessible depuis Internet ou le réseau interne. Plusieurs chercheurs en sécurité, dont les équipes de Penligent.ai et SOCRadar, ont publié des analyses détaillées du mécanisme de bypass API, confirmant la relative simplicité technique de l'exploitation — un facteur aggravant pour la diffusion rapide d'exploits automatisés.

Les versions 7.4.5 et 7.4.6 de FortiClient EMS sont les seules affectées. La branche 7.2.x n'est pas impactée selon l'advisory Fortinet FG-IR-26-204. Cette précision est importante : les organisations ayant effectué une mise à jour récente vers la branche 7.4 pour bénéficier de nouvelles fonctionnalités se retrouvent exposées, tandis que celles restées sur 7.2 sont paradoxalement protégées dans ce cas précis. La vulnérabilité a également été identifiée en parallèle avec CVE-2026-21643, une faille de traversée de répertoire dans FortiClient EMS, qui renforce la nécessité d'une mise à jour rapide, selon l'analyse de Greenbone.

Fortinet a réagi rapidement en publiant un hotfix hors-bande dès le 4 avril 2026, applicable sur FortiClient EMS 7.4.5 et 7.4.6 sans nécessiter d'arrêt du service. Ce type de correctif d'urgence hors cycle est rare chez les éditeurs de solutions de sécurité et témoigne de la sévérité évaluée en interne par le PSIRT Fortinet. La version définitive intégrant le correctif permanent est FortiClient EMS 7.4.7, dont la publication a été accélérée suite à la découverte de l'exploitation. Selon les analyses de Tenable, aucun PoC public complet n'avait été formellement publié, mais l'exploitation confirmée in-the-wild implique que des outils d'attaque privés ou semi-publics circulent dans les cercles offensifs.

L'impact potentiel d'une compromission de FortiClient EMS va bien au-delà du serveur lui-même. EMS orchestre les politiques de sécurité — contrôle d'accès réseau (NAC), chiffrement de disque, télémétrie, mises à jour d'agents — pour l'ensemble des endpoints gérés. Un attaquant contrôlant EMS peut théoriquement déployer des configurations malveillantes sur tous les agents FortiClient connectés, modifier les règles de sécurité pour affaiblir la protection des endpoints, extraire des informations d'inventaire sensibles sur l'infrastructure réseau, ou utiliser le serveur comme pivot pour des mouvements latéraux. Il s'agit d'un scénario de compromission en cascade à fort potentiel de dommages organisationnels.

La NHS England Digital a publié une alerte spécifique (CC-4766) recommandant une action urgente à tous les établissements de santé britanniques utilisant FortiClient EMS. Le Centre canadien pour la cybersécurité a également émis l'alerte AL26-007. Cette mobilisation internationale des autorités de cybersécurité reflète la gravité de la faille et la présence significative de FortiClient EMS dans des secteurs critiques. En France, le CERT-FR a relayé l'alerte dans ses bulletins d'actualité, recommandant l'application immédiate du hotfix Fortinet.

Impact et exposition

FortiClient EMS est déployé dans des milliers d'organisations dans le monde — entreprises du CAC40 et Fortune 500, administrations publiques, prestataires de services gérés (MSP), opérateurs télécom et infrastructures critiques. La nature centralisée du serveur EMS en fait une cible de premier choix pour les acteurs APT cherchant à compromettre de larges parcs d'endpoints en une seule opération d'intrusion initiale.

Les instances FortiClient EMS exposées sur Internet sont accessibles via leurs interfaces web (généralement port 443 et 8013 selon la configuration). Une analyse effectuée par des chercheurs en sécurité après la divulgation a révélé plusieurs centaines d'instances potentiellement vulnérables directement exposées en ligne, selon les alertes publiées par le Centre canadien pour la cybersécurité (AL26-007) et runZero. Chaque instance exposée représente un vecteur d'accès initial sans authentification pour un attaquant externe.

Les investigations post-exploitation documentées par watchTowr et Fortinet indiquent que des attaquants ont utilisé CVE-2026-35616 pour obtenir un accès initial, avant de déployer des outils de reconnaissance réseau et de mouvement latéral. Le profil des attaquants n'a pas été formellement attribué à la date de publication de cet article, mais les TTPs observées — exploitation d'équipements de sécurité périmétrique comme vecteur d'entrée initial — sont caractéristiques de groupes APT spécialisés dans les environnements d'entreprise (notamment les groupes ciblant l'industrie Fortinet documentés par Mandiant et CrowdStrike).

Dans un scénario d'exploitation complet, un attaquant compromettant FortiClient EMS peut : extraire les configurations VPN et les certificats déployés sur les endpoints, modifier les politiques de chiffrement pour désactiver la protection BitLocker ou FileVault sur les postes gérés, déployer des scripts PowerShell ou shell via les mécanismes de gestion à distance d'EMS, et utiliser le serveur comme rebond pour attaquer le reste de l'infrastructure réseau en bénéficiant de la confiance accordée aux communications légitimes EMS.

Recommandations immédiates

• Appliquer immédiatement le hotfix hors-bande Fortinet sur FortiClient EMS 7.4.5 et 7.4.6 — advisory Fortinet FG-IR-26-204 (accès portail support Fortinet requis)
• Planifier une mise à jour vers FortiClient EMS 7.4.7 qui intègre le correctif permanent
• Si le patch immédiat est impossible : isoler le serveur FortiClient EMS en restreignant l'accès à l'API aux seules adresses IP administrateur via règles de pare-feu
• Vérifier les journaux d'accès API de FortiClient EMS pour des requêtes non authentifiées ou des accès depuis des IP inhabituelles depuis le 31 mars 2026
• Rechercher des indicateurs de compromission : nouveaux comptes administrateurs créés, modifications de configuration de politiques, processus inhabituels sur le serveur EMS
• Si compromission suspectée : isoler le serveur EMS du réseau, démarrer une investigation forensique et réinitialiser les credentials de tous les comptes administrateurs FortiClient
• S'inscrire aux bulletins PSIRT Fortinet pour recevoir les futures alertes de sécurité en temps réel