En bref

  • CVE-2026-21643 : injection SQL critique (CVSS 9.8) dans Fortinet FortiClient EMS 7.4.4 en mode multi-tenant
  • Exploitation active confirmée depuis début avril 2026 — aucune authentification requise
  • Action urgente : mettre à jour vers FortiClient EMS 7.4.5 ou supérieur et restreindre l'accès à l'interface web d'administration

Les faits

Fortinet a reconnu le 4 avril 2026, dans son avis de sécurité FG-IR-26-099, l'exploitation active d'une vulnérabilité d'injection SQL critique référencée CVE-2026-21643 affectant FortiClient Enterprise Management Server (EMS). Cette faille obtient un score CVSS de 9.8, la classant au niveau de sévérité maximal. Elle vient s'ajouter à la CVE-2026-35616 déjà signalée la semaine précédente, portant à deux le nombre de vulnérabilités critiques activement exploitées dans FortiClient EMS en l'espace de quelques jours seulement.

La cause technique de cette vulnérabilité est une neutralisation insuffisante des caractères spéciaux dans les commandes SQL. Concrètement, l'en-tête HTTP utilisé pour identifier le tenant auquel appartient une requête est directement injecté dans une requête de base de données sans aucune sanitization, et ce avant toute vérification d'authentification. Un attaquant capable d'atteindre l'interface web EMS via HTTPS peut donc exploiter cette faille sans disposer d'aucun identifiant. L'exploitation permet d'exécuter des actions non autorisées sur la base de données et potentiellement d'escalader vers l'exécution de code ou de commandes système sur le serveur.

Selon les données de Defused Cyber, relayées par watchTowr Labs, les premières tentatives d'exploitation ont été détectées dès le 31 mars 2026, soit avant la publication officielle de l'avis de sécurité. Le Centre pour la Cybersécurité de Belgique (CCB) a émis une alerte spécifique demandant aux organisations de patcher immédiatement. Selon le Shadowserver Foundation, environ 2 000 instances FortiClient EMS restent exposées sur Internet et potentiellement vulnérables.

Impact et exposition

La vulnérabilité affecte spécifiquement FortiClient EMS version 7.4.4 lorsque le mode multi-tenant est activé. Les déploiements en mode site unique ne sont pas affectés, et les versions 7.2.x et 8.0.x ne sont pas concernées. Cependant, les organisations ayant activé le mode multi-tenant — typiquement les MSSP, les grandes entreprises multi-sites et les hébergeurs de services de sécurité managés — sont directement exposées à cette attaque sans authentification.

Le compromis d'un serveur FortiClient EMS est critique car cette plateforme centralise la gestion de tous les agents FortiClient déployés sur les endpoints de l'organisation. Un attaquant prenant le contrôle du serveur EMS peut accéder aux données de télémétrie de sécurité, modifier les politiques de protection des endpoints, désactiver les fonctions de sécurité sur les postes gérés et utiliser le serveur compromis comme pivot pour une attaque plus large sur le réseau interne. La combinaison avec la CVE-2026-35616 crée un risque systémique pour les environnements Fortinet non mis à jour.

Recommandations immédiates

  • Mettre à jour FortiClient EMS vers la version 7.4.5 ou supérieure qui corrige cette vulnérabilité — Fortinet Security Advisory FG-IR-26-099
  • Restreindre immédiatement l'accès à l'interface web d'administration EMS aux seuls réseaux d'administration de confiance via des règles de pare-feu
  • Rechercher dans les journaux d'accès web les requêtes contenant des en-têtes HTTP inhabituels ou des tentatives d'injection SQL ciblant l'identification des tenants
  • Auditer la base de données EMS pour détecter des comptes ou des entrées créés de manière non légitime depuis le 31 mars 2026
  • Si la CVE-2026-35616 n'a pas encore été corrigée, appliquer également le hotfix correspondant ou mettre à jour vers 7.4.7

⚠️ Urgence

Cette vulnérabilité est activement exploitée depuis le 31 mars 2026 et constitue la deuxième faille critique dans FortiClient EMS en une semaine. Avec un score CVSS de 9.8 et une exploitation ne nécessitant aucune authentification, les organisations utilisant FortiClient EMS 7.4.4 en mode multi-tenant doivent traiter cette mise à jour comme une urgence absolue. Ne pas patcher expose l'intégralité de l'infrastructure de sécurité des endpoints à une compromission.

Comment vérifier si mon FortiClient EMS est vulnérable à cette faille ?

Connectez-vous à la console d'administration FortiClient EMS et vérifiez la version dans Aide > À propos. Si vous êtes en version 7.4.4 avec le mode multi-tenant activé, vous êtes vulnérable. Le mode multi-tenant se vérifie dans les paramètres système. Les versions 7.2.x, 7.4.5+, et 8.0.x ne sont pas affectées par cette CVE spécifique. Attention : même si vous n'êtes pas concerné par la CVE-2026-21643, vérifiez également votre exposition à la CVE-2026-35616 qui affecte les versions 7.4.5 et 7.4.6.

Quelle est la différence entre CVE-2026-21643 et CVE-2026-35616 ?

CVE-2026-21643 est une injection SQL affectant uniquement la version 7.4.4 en mode multi-tenant, tandis que CVE-2026-35616 est un contournement de contrôle d'accès affectant les versions 7.4.5 et 7.4.6. Les deux sont critiques et activement exploitées, mais elles ciblent des versions différentes. Si vous êtes en 7.4.4, la mise à jour vers 7.4.7 corrige les deux failles. Consultez l'advisory Fortinet FG-IR-26-099 pour les détails complets.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit