En bref

  • Fortinet publie un correctif d'urgence pour la CVE-2026-35616 (CVSS 9.1) dans FortiClient EMS, activement exploitée depuis le 31 mars 2026.
  • Plus de 2 000 instances FortiClient EMS exposées sur Internet, principalement aux États-Unis et en Allemagne.
  • Les versions 7.4.5 et 7.4.6 sont vulnérables : un hotfix est disponible en attendant la version 7.4.7.

Ce qui s'est passé

Fortinet a publié un correctif de sécurité en urgence le week-end dernier pour colmater une vulnérabilité critique référencée CVE-2026-35616, affectant FortiClient Enterprise Management Server (EMS). Cette faille, notée 9.1 sur l'échelle CVSS, permet à un attaquant non authentifié de contourner les protections d'authentification et d'autorisation de l'API, puis d'exécuter du code ou des commandes arbitraires via des requêtes spécialement forgées. Il s'agit d'un défaut de contrôle d'accès (CWE-284) de type pré-authentification menant à une élévation de privilèges.

Selon les chercheurs de watchTowr, les premières tentatives d'exploitation ont été enregistrées sur leurs pots de miel dès le 31 mars 2026. La fondation Shadowserver a identifié plus de 2 000 instances FortiClient EMS directement exposées sur Internet, la majorité étant localisées aux États-Unis et en Allemagne. Cette vulnérabilité fait suite à une autre faille critique récemment patchée dans FortiClient EMS (CVE-2026-21643, CVSS 9.1), elle aussi exploitée dans la nature.

La découverte est créditée à Simo Kohonen de Defused Cyber et à Nguyen Duc Anh, qui ont remonté la faille de manière responsable à Fortinet. Les versions touchées sont FortiClient EMS 7.4.5 et 7.4.6. Un hotfix est d'ores et déjà disponible, en attendant la sortie de la version 7.4.7 qui intégrera le correctif définitif.

Pourquoi c'est important

FortiClient EMS est la console de gestion centralisée utilisée par des milliers d'entreprises pour piloter le déploiement et la configuration de FortiClient sur leurs postes de travail. Une compromission de cette console offre à un attaquant un point de pivot stratégique : il peut modifier les politiques de sécurité, déployer des agents malveillants sur l'ensemble du parc, ou encore exfiltrer des données sensibles. Le caractère pré-authentification de la faille la rend particulièrement dangereuse, car aucune interaction utilisateur ni identifiant valide n'est requis pour l'exploiter.

C'est la deuxième faille critique en quelques semaines sur FortiClient EMS, ce qui soulève des questions sur la surface d'attaque de ce composant. Les organisations utilisant Fortinet doivent considérer un audit de sécurité approfondi de leurs déploiements EMS et renforcer la segmentation réseau autour de ces serveurs de gestion.

Ce qu'il faut retenir

  • Appliquer immédiatement le hotfix Fortinet pour FortiClient EMS 7.4.5 et 7.4.6, sans attendre la version 7.4.7.
  • Vérifier que les instances FortiClient EMS ne sont pas directement exposées sur Internet et restreindre l'accès aux seuls réseaux d'administration.
  • Surveiller les logs d'accès API de FortiClient EMS pour détecter des requêtes anormales ou des tentatives de contournement d'authentification.

Comment savoir si mon FortiClient EMS est vulnérable à la CVE-2026-35616 ?

Vérifiez la version de votre FortiClient EMS dans la console d'administration. Si vous utilisez les versions 7.4.5 ou 7.4.6 sans le hotfix appliqué, votre instance est vulnérable. Fortinet recommande d'installer le hotfix disponible sur le portail de support et de planifier la mise à jour vers la version 7.4.7 dès sa sortie.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact