En bref

  • CVE-2026-35616 (CVSS 9.1) : pre-auth API access bypass dans FortiClient EMS 7.4.5-7.4.6
  • CVE-2026-21643 (CVSS 9.1) : injection SQL exploitée depuis le 24 mars 2026
  • Hotfix Fortinet disponible sans downtime, échéance KEV CISA au 16 avril dépassée

Les faits

Fortinet a publié début avril deux correctifs hors cycle pour FortiClient EMS, plateforme centralisée de gestion des endpoints VPN et ZTNA. La première faille, CVE-2026-35616 (CVSS 9.1), est un improper access control découvert par Simo Kohonen de Defused Cyber et Nguyen Duc Anh : un attaquant non authentifié peut exécuter du code via des requêtes API forgées, atteignant directement l'escalade de privilèges. watchTowr indique avoir détecté les premières tentatives d'exploitation contre ses honeypots dès le 31 mars 2026. La CISA a inscrit la CVE au KEV le 6 avril, avec échéance fédérale au 9 avril, et Fortinet recommande l'application immédiate du hotfix.

La seconde faille, CVE-2026-21643 (CVSS 9.1), est une injection SQL également exploitée activement depuis le 24 mars 2026 selon Defused Cyber. La CISA l'a ajoutée au KEV le 13 avril 2026 avec une échéance au 16 avril, désormais dépassée pour les agences fédérales en retard. Les deux vulnérabilités touchent les versions 7.4.5 et 7.4.6 de FortiClient EMS, et seront définitivement corrigées dans la version 7.4.7 attendue prochainement. Les hotfixes intermédiaires s'appliquent sans interruption de service, ce qui élimine l'argument fenêtre de maintenance souvent invoqué pour repousser les patchs critiques.

Impact et exposition

FortiClient EMS pilote l'enrôlement et la conformité des endpoints VPN/ZTNA pour de nombreuses entreprises. Une compromission permet à l'attaquant d'injecter ses propres profils de connexion, d'extraire les certificats clients ou de pivoter vers les actifs internes via le tunnel chiffré. Les MSP qui hébergent une instance EMS multi-tenant exposent l'ensemble de leurs clients à un risque latéral si le serveur est compromis, scénario déjà observé en 2024 avec d'autres consoles centralisées de sécurité.

Recommandations

  • Appliquer immédiatement les hotfixes FortiClient EMS 7.4.5 et 7.4.6 publiés par Fortinet
  • Restreindre l'accès à la console EMS au réseau de management uniquement (segmentation stricte)
  • Auditer les profils VPN/ZTNA créés depuis le 24 mars 2026 et révoquer les certificats suspects
  • Activer la journalisation API exhaustive et corréler avec votre SIEM

Alerte critique

Si votre instance FortiClient EMS est exposée publiquement et n'a pas été patchée, considérez-la comme potentiellement compromise. Procédez à une rotation immédiate des certificats émis et à un threat hunting sur l'ensemble des endpoints enrôlés.

Comment vérifier la version de mon FortiClient EMS ?

Connectez-vous à la console d'administration EMS, le numéro de version est affiché en bas à droite ou via Help > About. Alternative en CLI : exécutez la commande system status sur le serveur EMS Windows. Si vous êtes en 7.4.5 ou 7.4.6 sans hotfix, appliquez le correctif Fortinet sans délai.

Mes endpoints FortiClient sont-ils directement vulnérables ?

Non, les deux failles concernent uniquement la console EMS côté serveur. Les agents FortiClient sur les postes de travail ne sont pas affectés. Cependant, si l'EMS est compromis, l'attaquant peut pousser des configurations malveillantes vers tous les agents enrôlés, ce qui en fait un point de pivot critique.

Pour situer ces failles dans le paysage des outils de sécurité compromis : notre dossier les outils de sécurité comme risque principal, ainsi que l'analyse du risque systémique des fournisseurs uniques. Pour durcir vos infrastructures, consultez notre guide PKI d'entreprise et le dossier Active Directory durci.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit