Une faille zero-day critique (CVSS 9.1) dans FortiClient EMS est activement exploitée depuis le 31 mars. Fortinet a publié un hotfix en urgence, la CISA exige un patch immédiat.
En bref
- Une faille zero-day critique (CVSS 9.1) dans Fortinet FortiClient EMS est activement exploitée depuis le 31 mars 2026.
- FortiClient EMS versions 7.4.5 et 7.4.6 sont vulnérables — un hotfix est disponible, la version 7.4.7 est attendue.
- Action requise : appliquer le hotfix immédiatement et vérifier les journaux d'accès API pour toute activité suspecte.
Les faits
Le 6 avril 2026, la CISA a ajouté la vulnérabilité CVE-2026-35616 à son catalogue KEV (Known Exploited Vulnerabilities), confirmant son exploitation active dans la nature. Cette faille de type contrôle d'accès inapproprié (CWE-284) dans FortiClient EMS permet à un attaquant non authentifié de contourner l'authentification de l'API et d'obtenir une élévation de privilèges sur le système cible. Le score CVSS de 9.1 place cette vulnérabilité dans la catégorie critique.
Selon les chercheurs de Defused Cyber, qui ont co-découvert la faille avec Nguyen Duc Anh, les premières tentatives d'exploitation ont été détectées sur des honeypots dès le 31 mars 2026, soit avant la publication du correctif par Fortinet. La CISA a imposé aux agences fédérales américaines (FCEB) un délai de correction au 9 avril 2026, soulignant l'urgence de la situation. Source : CISA, BleepingComputer, Tenable.
Impact et exposition
FortiClient EMS est la console d'administration centralisée des agents FortiClient déployés sur les postes de travail. Elle est présente dans des milliers d'organisations pour la gestion des endpoints, le VPN et la conformité des postes. Toute instance FortiClient EMS en version 7.4.5 ou 7.4.6 exposée sur le réseau — même interne — est vulnérable. L'exploitation ne nécessite aucune authentification préalable, ce qui élargit considérablement la surface d'attaque. Une compromission de l'EMS donne potentiellement accès à l'ensemble du parc de postes gérés.
Cette faille s'inscrit dans une série de vulnérabilités critiques touchant les produits Fortinet ces derniers mois. On rappelle notamment la CVE-2026-21643, une injection SQL dans FortiClient EMS récemment documentée, qui ciblait le même produit avec un vecteur différent. Les équipements Fortinet restent une cible privilégiée des groupes d'attaquants étatiques et criminels.
Recommandations
- Appliquer immédiatement le hotfix publié par Fortinet pour FortiClient EMS — la mise à jour vers la version 7.4.7 doit être planifiée dès sa disponibilité.
- Auditer les journaux d'accès API de FortiClient EMS pour identifier toute requête anormale depuis le 31 mars 2026.
- Restreindre l'accès réseau à la console EMS aux seuls segments d'administration, et bloquer tout accès depuis Internet.
- Vérifier l'intégrité des comptes administrateurs et forcer une rotation des credentials sur l'ensemble de la plateforme.
Alerte critique
Cette vulnérabilité est exploitée activement depuis au moins 12 jours. Si votre FortiClient EMS est en version 7.4.5 ou 7.4.6, considérez votre infrastructure comme potentiellement compromise jusqu'à preuve du contraire. Un audit forensique est recommandé en complément du patch.
Comment vérifier si mon FortiClient EMS est vulnérable ?
Connectez-vous à la console d'administration EMS et vérifiez le numéro de version dans Paramètres puis À propos. Les versions 7.4.5 et 7.4.6 sont vulnérables. Si le hotfix n'est pas encore appliqué, isolez immédiatement la console du réseau en attendant le déploiement du correctif.
Les versions antérieures à 7.4.5 sont-elles aussi concernées ?
D'après l'advisory Fortinet, seules les versions 7.4.5 et 7.4.6 sont affectées par cette CVE spécifique. Cependant, les versions plus anciennes peuvent présenter d'autres vulnérabilités non corrigées. La mise à jour vers la dernière version stable reste la recommandation prioritaire.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
FIRESTARTER : APT persistant sur les pare-feu Cisco ASA
CISA et le NCSC britannique alertent sur FIRESTARTER, un implant déployé par l'APT UAT-4356 sur les pare-feu Cisco ASA et Firepower. Le malware survit aux patchs et aux reboots logiciels.
ADT confirme une fuite : ShinyHunters menace 10 M de clients
Le géant américain de la sécurité résidentielle ADT confirme une fuite après une attaque vishing sur Okta SSO. ShinyHunters revendique 10 millions de dossiers et fixe un ultimatum au 27 avril.
Pack2TheRoot CVE-2026-41651 : root Linux pour tous (8.8)
Une faille critique dans PackageKit (CVE-2026-41651, CVSS 8.8) permet à tout utilisateur Linux non privilégié d'obtenir root sur la majorité des distributions, du serveur Ubuntu LTS au poste Fedora.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire