Injection SQL critique CVSS 9.8 dans FortiClient EMS 7.4.4 multi-tenant. Exploitation active depuis le 31 mars 2026. Mise à jour urgente vers 7.4.5+.
En bref
- CVE-2026-21643 : injection SQL critique (CVSS 9.8) dans Fortinet FortiClient EMS 7.4.4 en mode multi-tenant
- Exploitation active confirmée depuis début avril 2026 — aucune authentification requise
- Action urgente : mettre à jour vers FortiClient EMS 7.4.5 ou supérieur et restreindre l'accès à l'interface web d'administration
Les faits
Fortinet a reconnu le 4 avril 2026, dans son avis de sécurité FG-IR-26-099, l'exploitation active d'une vulnérabilité d'injection SQL critique référencée CVE-2026-21643 affectant FortiClient Enterprise Management Server (EMS). Cette faille obtient un score CVSS de 9.8, la classant au niveau de sévérité maximal. Elle vient s'ajouter à la CVE-2026-35616 déjà signalée la semaine précédente, portant à deux le nombre de vulnérabilités critiques activement exploitées dans FortiClient EMS en l'espace de quelques jours seulement.
La cause technique de cette vulnérabilité est une neutralisation insuffisante des caractères spéciaux dans les commandes SQL. Concrètement, l'en-tête HTTP utilisé pour identifier le tenant auquel appartient une requête est directement injecté dans une requête de base de données sans aucune sanitization, et ce avant toute vérification d'authentification. Un attaquant capable d'atteindre l'interface web EMS via HTTPS peut donc exploiter cette faille sans disposer d'aucun identifiant. L'exploitation permet d'exécuter des actions non autorisées sur la base de données et potentiellement d'escalader vers l'exécution de code ou de commandes système sur le serveur.
Selon les données de Defused Cyber, relayées par watchTowr Labs, les premières tentatives d'exploitation ont été détectées dès le 31 mars 2026, soit avant la publication officielle de l'avis de sécurité. Le Centre pour la Cybersécurité de Belgique (CCB) a émis une alerte spécifique demandant aux organisations de patcher immédiatement. Selon le Shadowserver Foundation, environ 2 000 instances FortiClient EMS restent exposées sur Internet et potentiellement vulnérables.
Impact et exposition
La vulnérabilité affecte spécifiquement FortiClient EMS version 7.4.4 lorsque le mode multi-tenant est activé. Les déploiements en mode site unique ne sont pas affectés, et les versions 7.2.x et 8.0.x ne sont pas concernées. Cependant, les organisations ayant activé le mode multi-tenant — typiquement les MSSP, les grandes entreprises multi-sites et les hébergeurs de services de sécurité managés — sont directement exposées à cette attaque sans authentification.
Le compromis d'un serveur FortiClient EMS est critique car cette plateforme centralise la gestion de tous les agents FortiClient déployés sur les endpoints de l'organisation. Un attaquant prenant le contrôle du serveur EMS peut accéder aux données de télémétrie de sécurité, modifier les politiques de protection des endpoints, désactiver les fonctions de sécurité sur les postes gérés et utiliser le serveur compromis comme pivot pour une attaque plus large sur le réseau interne. La combinaison avec la CVE-2026-35616 crée un risque systémique pour les environnements Fortinet non mis à jour.
Recommandations immédiates
- Mettre à jour FortiClient EMS vers la version 7.4.5 ou supérieure qui corrige cette vulnérabilité — Fortinet Security Advisory FG-IR-26-099
- Restreindre immédiatement l'accès à l'interface web d'administration EMS aux seuls réseaux d'administration de confiance via des règles de pare-feu
- Rechercher dans les journaux d'accès web les requêtes contenant des en-têtes HTTP inhabituels ou des tentatives d'injection SQL ciblant l'identification des tenants
- Auditer la base de données EMS pour détecter des comptes ou des entrées créés de manière non légitime depuis le 31 mars 2026
- Si la CVE-2026-35616 n'a pas encore été corrigée, appliquer également le hotfix correspondant ou mettre à jour vers 7.4.7
⚠️ Urgence
Cette vulnérabilité est activement exploitée depuis le 31 mars 2026 et constitue la deuxième faille critique dans FortiClient EMS en une semaine. Avec un score CVSS de 9.8 et une exploitation ne nécessitant aucune authentification, les organisations utilisant FortiClient EMS 7.4.4 en mode multi-tenant doivent traiter cette mise à jour comme une urgence absolue. Ne pas patcher expose l'intégralité de l'infrastructure de sécurité des endpoints à une compromission.
Comment vérifier si mon FortiClient EMS est vulnérable à cette faille ?
Connectez-vous à la console d'administration FortiClient EMS et vérifiez la version dans Aide > À propos. Si vous êtes en version 7.4.4 avec le mode multi-tenant activé, vous êtes vulnérable. Le mode multi-tenant se vérifie dans les paramètres système. Les versions 7.2.x, 7.4.5+, et 8.0.x ne sont pas affectées par cette CVE spécifique. Attention : même si vous n'êtes pas concerné par la CVE-2026-21643, vérifiez également votre exposition à la CVE-2026-35616 qui affecte les versions 7.4.5 et 7.4.6.
Quelle est la différence entre CVE-2026-21643 et CVE-2026-35616 ?
CVE-2026-21643 est une injection SQL affectant uniquement la version 7.4.4 en mode multi-tenant, tandis que CVE-2026-35616 est un contournement de contrôle d'accès affectant les versions 7.4.5 et 7.4.6. Les deux sont critiques et activement exploitées, mais elles ciblent des versions différentes. Si vous êtes en 7.4.4, la mise à jour vers 7.4.7 corrige les deux failles. Consultez l'advisory Fortinet FG-IR-26-099 pour les détails complets.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
CVE-2026-23818 : vol de credentials HPE Aruba 5G (8.8)
Vulnérabilité de redirection ouverte CVSS 8.8 dans HPE Aruba Private 5G Core permettant le vol de credentials d'administration via phishing ciblé.
CVE-2026-1281 : RCE zero-day critique dans Ivanti EPMM (9.8)
Deux vulnérabilités zero-day critiques (CVSS 9.8) dans Ivanti EPMM permettent une exécution de code à distance sans authentification. Exploitation active massive en cours.
CVE-2026-1346 : escalade root dans IBM Verify Access (9.3)
CVE-2026-1346 : faille critique CVSS 9.3 dans IBM Verify Identity Access. Escalade de privilèges locale vers root. Correctifs IF1 disponibles.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire