Fortinet corrige en urgence la CVE-2026-35616 dans FortiClient EMS, une faille critique CVSS 9.1 activement exploitée permettant l'exécution de code sans authentification.
En bref
- Fortinet publie un correctif d'urgence pour la CVE-2026-35616 (CVSS 9.1) dans FortiClient EMS, activement exploitée depuis le 31 mars 2026.
- Plus de 2 000 instances FortiClient EMS exposées sur Internet, principalement aux États-Unis et en Allemagne.
- Les versions 7.4.5 et 7.4.6 sont vulnérables : un hotfix est disponible en attendant la version 7.4.7.
Ce qui s'est passé
Fortinet a publié un correctif de sécurité en urgence le week-end dernier pour colmater une vulnérabilité critique référencée CVE-2026-35616, affectant FortiClient Enterprise Management Server (EMS). Cette faille, notée 9.1 sur l'échelle CVSS, permet à un attaquant non authentifié de contourner les protections d'authentification et d'autorisation de l'API, puis d'exécuter du code ou des commandes arbitraires via des requêtes spécialement forgées. Il s'agit d'un défaut de contrôle d'accès (CWE-284) de type pré-authentification menant à une élévation de privilèges.
Selon les chercheurs de watchTowr, les premières tentatives d'exploitation ont été enregistrées sur leurs pots de miel dès le 31 mars 2026. La fondation Shadowserver a identifié plus de 2 000 instances FortiClient EMS directement exposées sur Internet, la majorité étant localisées aux États-Unis et en Allemagne. Cette vulnérabilité fait suite à une autre faille critique récemment patchée dans FortiClient EMS (CVE-2026-21643, CVSS 9.1), elle aussi exploitée dans la nature.
La découverte est créditée à Simo Kohonen de Defused Cyber et à Nguyen Duc Anh, qui ont remonté la faille de manière responsable à Fortinet. Les versions touchées sont FortiClient EMS 7.4.5 et 7.4.6. Un hotfix est d'ores et déjà disponible, en attendant la sortie de la version 7.4.7 qui intégrera le correctif définitif.
Pourquoi c'est important
FortiClient EMS est la console de gestion centralisée utilisée par des milliers d'entreprises pour piloter le déploiement et la configuration de FortiClient sur leurs postes de travail. Une compromission de cette console offre à un attaquant un point de pivot stratégique : il peut modifier les politiques de sécurité, déployer des agents malveillants sur l'ensemble du parc, ou encore exfiltrer des données sensibles. Le caractère pré-authentification de la faille la rend particulièrement dangereuse, car aucune interaction utilisateur ni identifiant valide n'est requis pour l'exploiter.
C'est la deuxième faille critique en quelques semaines sur FortiClient EMS, ce qui soulève des questions sur la surface d'attaque de ce composant. Les organisations utilisant Fortinet doivent considérer un audit de sécurité approfondi de leurs déploiements EMS et renforcer la segmentation réseau autour de ces serveurs de gestion.
Ce qu'il faut retenir
- Appliquer immédiatement le hotfix Fortinet pour FortiClient EMS 7.4.5 et 7.4.6, sans attendre la version 7.4.7.
- Vérifier que les instances FortiClient EMS ne sont pas directement exposées sur Internet et restreindre l'accès aux seuls réseaux d'administration.
- Surveiller les logs d'accès API de FortiClient EMS pour détecter des requêtes anormales ou des tentatives de contournement d'authentification.
Comment savoir si mon FortiClient EMS est vulnérable à la CVE-2026-35616 ?
Vérifiez la version de votre FortiClient EMS dans la console d'administration. Si vous utilisez les versions 7.4.5 ou 7.4.6 sans le hotfix appliqué, votre instance est vulnérable. Fortinet recommande d'installer le hotfix disponible sur le portail de support et de planifier la mise à jour vers la version 7.4.7 dès sa sortie.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
React2Shell : 766 serveurs Next.js compromis, credentials volés
CVE-2025-55182 (CVSS 10.0) : 766 serveurs Next.js compromis via React2Shell. Vol automatisé de credentials cloud, clés API et secrets via le framework C2 NEXUS Listener.
Drift Protocol : hack à 285 M$ attribué à la Corée du Nord
Drift Protocol sur Solana perd 285 millions de dollars en 12 minutes. L'attaque par ingénierie sociale est attribuée au groupe nord-coréen UNC4736 après 6 mois de préparation.
Cisco IMC : faille critique CVSS 9.8 permet un accès admin
Cisco corrige CVE-2026-20093 (CVSS 9.8), une faille critique dans l'IMC permettant à un attaquant non authentifié de prendre le contrôle admin des serveurs UCS. Correctifs disponibles, PoC public.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire