En bref

  • CVE-2026-35616 : bypass d'authentification API pré-auth dans FortiClient EMS (CVSS 9.1)
  • Versions affectées : FortiClient EMS 7.4.5 à 7.4.6, exploitation in-the-wild depuis le 31 mars 2026
  • Action urgente : appliquer le hotfix Fortinet ou migrer vers la version 7.4.7 dès parution

CVE-2026-35616 désigne une faille critique de contournement d'authentification dans FortiClient EMS, le serveur central de gestion des postes Fortinet. Notée CVSS 9.1 et classée CWE-284 « Improper Access Control », elle permet à un attaquant non authentifié, sans aucune interaction utilisateur, d'exécuter du code arbitraire sur le serveur de gestion. La cause racine se situe dans le middleware Django d'authentification : celui-ci accepte indifféremment les informations de certificat client transmises par les variables d'environnement WSGI fixées par Apache mod_ssl et celles fournies par des en-têtes HTTP contrôlés par le client. En forgeant les bons en-têtes, un attaquant convainc l'application qu'il présente un certificat client valide, court-circuite intégralement la chaîne d'authentification, puis enchaîne avec une exécution de commande arbitraire via les API d'administration. La société de recherche watchTowr a enregistré les premières tentatives d'exploitation contre ses honeypots dès le 31 mars 2026, soit avant la publication du correctif. Le CISA a inscrit la vulnérabilité au catalogue KEV le 6 avril 2026 avec une échéance fédérale fixée au 9 avril, signe de l'urgence opérationnelle. Bishop Fox et Horizon3.ai ont publié des analyses techniques détaillées qui rendent l'écriture d'un exploit reproductible accessible à tout acteur de menace organisé.

Les faits

Selon l'avis Fortinet et l'analyse de Bishop Fox, le vecteur d'attaque exploite la confiance que Django accorde aux en-têtes HTTP lorsque l'application est déployée derrière Apache avec authentification mutuelle TLS. En production, mod_ssl injecte les attributs du certificat client dans des variables WSGI préfixées SSL_CLIENT_. Le middleware FortiClient EMS lit ces variables pour identifier l'utilisateur, mais il les lit également depuis des en-têtes HTTP simples, sans distinguer la source. Un attaquant qui adresse directement la requête au serveur Django, en contournant Apache, peut donc fournir lui-même les en-têtes SSL_CLIENT_S_DN et obtenir le statut d'utilisateur authentifié de son choix, y compris administrateur global. À partir de là, l'API d'administration expose des points de terminaison qui permettent d'ajouter des comptes, de pousser des configurations vers les agents FortiClient déployés, et selon les chercheurs de Horizon3.ai, d'aboutir à une exécution de code sur le serveur lui-même.

Fortinet a publié un patch hors cycle après les premières publications de watchTowr et de Bishop Fox. Les versions FortiClient EMS 7.4.5 et 7.4.6 sont vulnérables, et le correctif définitif est attendu dans la version 7.4.7. Un hotfix intermédiaire est mis à disposition par le support Fortinet pour les clients sous contrat. Le constructeur reconnaît explicitement l'exploitation active dans son advisory et confirme l'attribution du CVSS 9.1.

Impact et exposition

FortiClient EMS occupe une position stratégique dans les architectures Fortinet : c'est lui qui pilote la posture, les politiques et les configurations Zero Trust Network Access des agents FortiClient déployés sur les postes de travail. Une compromission du serveur EMS donne donc à l'attaquant la capacité de déployer du code, de modifier les règles d'accès aux ressources internes, ou de désactiver les contrôles de sécurité sur l'ensemble du parc géré. Le rayon d'impact est comparable à celui d'une compromission de console EDR centrale. Les organisations exposant directement EMS sur Internet — pratique fréquente pour les utilisateurs nomades — sont les premières cibles, mais une exposition latérale interne suffit à un attaquant déjà présent dans le réseau pour pivoter en mode privilégié. L'exploitation in-the-wild observée dès le 31 mars 2026 concerne des honeypots, ce qui indique un balayage opportuniste à grande échelle plutôt qu'un ciblage précis : tout serveur exposé doit être considéré comme tenté.

Recommandations immédiates

  • Appliquer le hotfix Fortinet pour FortiClient EMS 7.4.5 / 7.4.6 référencé dans l'advisory FG-IR-26 publié en avril 2026, ou migrer vers 7.4.7 dès sa parution officielle.
  • Si le patch ne peut être appliqué immédiatement : restreindre l'accès au serveur EMS aux seules adresses IP des administrateurs et des FortiGate gérés via une ACL réseau ou un WAF en amont.
  • Auditer les journaux Apache et Django pour rechercher des requêtes contenant des en-têtes SSL_CLIENT_S_DN ou SSL_CLIENT_VERIFY provenant d'adresses IP non attendues — indicateur de tentative d'abus du middleware.
  • Vérifier les comptes administrateurs créés depuis fin mars 2026 et révoquer tout accès suspect, puis renouveler les secrets et certificats de gestion.
  • Mettre en place une supervision SIEM dédiée sur les endpoints API d'administration EMS pour détecter les requêtes d'écriture massives.

⚠️ Urgence

Exploitation active confirmée par watchTowr depuis le 31 mars 2026 et inscription KEV CISA le 6 avril 2026 avec échéance au 9 avril. Tout serveur FortiClient EMS exposé à Internet doit être considéré comme potentiellement compromis tant qu'aucun audit complet n'a été conduit. La fenêtre entre la mise en ligne d'un proof-of-concept détaillé par Bishop Fox et l'application des patchs en entreprise est précisément celle exploitée par les opérateurs de ransomware.

Comment savoir si je suis vulnérable ?

Connectez-vous à l'interface d'administration FortiClient EMS et vérifiez la version dans le menu Help > About. Les versions 7.4.5 et 7.4.6 sont vulnérables. En ligne de commande sur le serveur Windows hébergeant EMS, la commande PowerShell Get-ItemProperty HKLM:\SOFTWARE\Fortinet\FortiClientEMS retourne également la version installée. Pour valider l'exposition réseau, lancez depuis un poste tiers une requête HTTP vers le port 443 du serveur EMS en injectant l'en-tête SSL_CLIENT_S_DN: CN=admin : si le serveur retourne une session valide sans authentification, la vulnérabilité est confirmée et un audit forensique est nécessaire.

Cette faille s'inscrit dans une série d'attaques pré-authentification visant les solutions Fortinet documentée par notre veille, comme la RCE non authentifiée FortiSandbox CVE-2026-39808. Le pattern d'ajout au KEV CISA quelques jours après publication d'un proof-of-concept se retrouve aussi dans le dossier Quest KACE SMA bypass auth CVSS 10. Pour comprendre comment un bypass d'authentification se transforme en RCE complète, voir l'analyse OAuth2 Proxy auth bypass CVE-2026-40575. Enfin, sur la dynamique de patch Fortinet et Cisco, consulter notre dossier Cisco SD-WAN Manager : 3 failles KEV avril 2026.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit

Partager cet article

Twitter LinkedIn

À propos de l'auteur

Ayi NEDJIMI

Ayi NEDJIMI

Auditeur Senior Cybersécurité & Consultant IA

Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense

ayi@ayinedjimi-consultants.fr

25+
ans d'expérience
700+
articles publiés
100+
missions réalisées

Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.

À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.

Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.

Domaines d'expertise

ISO 42001 Lead Auditor ISO 27001 · NIS2 Pentest & Forensics IA / LLM / RAG Cloud & Active Directory

Ressources & Outils de l'auteur

GitHub

Code & projets open source

Hugging Face

Modèles IA & datasets

CertifExpress

Préparez vos certifications IT

WindowsBooster

Optimisation Windows 11

Testez vos connaissances

Mini-quiz de certification lié à cet article — propulsé par CertifExpress

Articles connexes

CVE-2025-2749 : RCE Kentico Xperience inscrite au KEV CISA

CVE-2025-2749 : path traversal Kentico Xperience vers RCE, ajoutée au KEV CISA le 20 avril 2026. Échéance fédérale fixée au 4 mai 2026.

26/04/2026

CVE-2026-34621 : Adobe Acrobat zero-day PDF exploité 4 mois

CVE-2026-34621 : zero-day Adobe Acrobat / Reader exploité depuis décembre 2025 via PDF malveillant, patch APSB26-43 publié le 11 avril 2026.

26/04/2026

CVE-2026-33032 : nginx-ui auth bypass exploitée (CVSS 9.8)

CVE-2026-33032 : auth bypass nginx-ui (CVSS 9.8) exploitée massivement. 2 689 instances exposées. Mise à jour 2.3.4 ou désactivation MCP impérative.

25/04/2026
Article précédent
Quand l'éditeur de sécurité devient le cheval de Troie
Article suivant
CVE-2026-34621 : Adobe Acrobat zero-day PDF exploité 4 mois

Commentaires

Aucun commentaire pour le moment. Soyez le premier à commenter !

Laisser un commentaire