Une faille zero-day critique (CVSS 9.1) dans FortiClient EMS est activement exploitée depuis le 31 mars. Fortinet a publié un hotfix en urgence, la CISA exige un patch immédiat.
En bref
- Une faille zero-day critique (CVSS 9.1) dans Fortinet FortiClient EMS est activement exploitée depuis le 31 mars 2026.
- FortiClient EMS versions 7.4.5 et 7.4.6 sont vulnérables — un hotfix est disponible, la version 7.4.7 est attendue.
- Action requise : appliquer le hotfix immédiatement et vérifier les journaux d'accès API pour toute activité suspecte.
Les faits
Le 6 avril 2026, la CISA a ajouté la vulnérabilité CVE-2026-35616 à son catalogue KEV (Known Exploited Vulnerabilities), confirmant son exploitation active dans la nature. Cette faille de type contrôle d'accès inapproprié (CWE-284) dans FortiClient EMS permet à un attaquant non authentifié de contourner l'authentification de l'API et d'obtenir une élévation de privilèges sur le système cible. Le score CVSS de 9.1 place cette vulnérabilité dans la catégorie critique.
Selon les chercheurs de Defused Cyber, qui ont co-découvert la faille avec Nguyen Duc Anh, les premières tentatives d'exploitation ont été détectées sur des honeypots dès le 31 mars 2026, soit avant la publication du correctif par Fortinet. La CISA a imposé aux agences fédérales américaines (FCEB) un délai de correction au 9 avril 2026, soulignant l'urgence de la situation. Source : CISA, BleepingComputer, Tenable.
Impact et exposition
FortiClient EMS est la console d'administration centralisée des agents FortiClient déployés sur les postes de travail. Elle est présente dans des milliers d'organisations pour la gestion des endpoints, le VPN et la conformité des postes. Toute instance FortiClient EMS en version 7.4.5 ou 7.4.6 exposée sur le réseau — même interne — est vulnérable. L'exploitation ne nécessite aucune authentification préalable, ce qui élargit considérablement la surface d'attaque. Une compromission de l'EMS donne potentiellement accès à l'ensemble du parc de postes gérés.
Cette faille s'inscrit dans une série de vulnérabilités critiques touchant les produits Fortinet ces derniers mois. On rappelle notamment la CVE-2026-21643, une injection SQL dans FortiClient EMS récemment documentée, qui ciblait le même produit avec un vecteur différent. Les équipements Fortinet restent une cible privilégiée des groupes d'attaquants étatiques et criminels.
Recommandations
- Appliquer immédiatement le hotfix publié par Fortinet pour FortiClient EMS — la mise à jour vers la version 7.4.7 doit être planifiée dès sa disponibilité.
- Auditer les journaux d'accès API de FortiClient EMS pour identifier toute requête anormale depuis le 31 mars 2026.
- Restreindre l'accès réseau à la console EMS aux seuls segments d'administration, et bloquer tout accès depuis Internet.
- Vérifier l'intégrité des comptes administrateurs et forcer une rotation des credentials sur l'ensemble de la plateforme.
Alerte critique
Cette vulnérabilité est exploitée activement depuis au moins 12 jours. Si votre FortiClient EMS est en version 7.4.5 ou 7.4.6, considérez votre infrastructure comme potentiellement compromise jusqu'à preuve du contraire. Un audit forensique est recommandé en complément du patch.
Comment vérifier si mon FortiClient EMS est vulnérable ?
Connectez-vous à la console d'administration EMS et vérifiez le numéro de version dans Paramètres puis À propos. Les versions 7.4.5 et 7.4.6 sont vulnérables. Si le hotfix n'est pas encore appliqué, isolez immédiatement la console du réseau en attendant le déploiement du correctif.
Les versions antérieures à 7.4.5 sont-elles aussi concernées ?
D'après l'advisory Fortinet, seules les versions 7.4.5 et 7.4.6 sont affectées par cette CVE spécifique. Cependant, les versions plus anciennes peuvent présenter d'autres vulnérabilités non corrigées. La mise à jour vers la dernière version stable reste la recommandation prioritaire.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
REvil et GandCrab : la police allemande identifie les chefs
Le BKA identifie Daniil Shchukin comme le chef de GandCrab et REvil. Avec son complice, il est lié à 130 extorsions et 35 millions d'euros de dégâts en Allemagne.
Storm-1175 : Medusa ransomware déployé en moins de 24 heures
Microsoft documente les campagnes ultra-rapides de Storm-1175 avec le ransomware Medusa : exploitation de zero-days et chiffrement en moins de 24 heures. Santé et finance en première ligne.
Deux experts cybersécurité US plaident coupable pour des attaques BlackCat
Deux anciens professionnels de la cybersécurité américains ont plaidé coupable pour leur rôle d'affiliés du ransomware BlackCat/ALPHV. Ils risquent 20 ans de prison.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire