Fortinet se précipite pour corriger d'urgence une faille zero-day exploitée activement dans FortiClient EMS
Fortinet a publié des correctifs de sécurité d'urgence le 5 avril 2026, pour remédier à une vulnérabilité zero-day critique dans FortiClient Enterprise Management Server (EMS) que des attaquants exploitent activement dans la nature. La vulnérabilité, suivie sous le nom CVE-2026-35616, a un score CVSS maximum de 9,8 et permet à des attaquants distants non authentifiés d'exécuter du code arbitraire sur des serveurs EMS vulnérables.
L'équipe de réponse aux incidents de sécurité des produits de l'entreprise (PSIRT) a confirmé que les tentatives d'exploitation ont commencé à apparaître fin mars 2026, avec plusieurs organisations signalant une activité suspecte sur leurs déploiements FortiClient EMS. L'équipe de renseignement sur les menaces de Fortinet a identifié des attaques coordonnées ciblant la vulnérabilité dans différentes régions géographiques, ce qui a déclenché la réponse d'urgence du week-end.
Selon The Hacker News, la vulnérabilité provient d'une validation d'entrée incorrecte dans l'interface web EMS, affectant spécifiquement le mécanisme de contournement de l'authentification qui traite les requêtes API externes. Les attaquants peuvent créer des requêtes HTTP malveillantes qui contournent les vérifications d'authentification et déclenchent des conditions de débordement de tampon, conduisant à une compromission complète du système.
La faille affecte le service EMS central responsable de la gestion des points de terminaison FortiClient à travers les réseaux d'entreprise. Lorsqu'elle est exploitée avec succès, les attaquants obtiennent des privilèges de niveau SYSTEM sur les serveurs EMS basés sur Windows ou un accès root sur les déploiements Linux. Ce niveau d'accès permet aux acteurs malveillants de manipuler les politiques de sécurité des points de terminaison, d'extraire des données de configuration sensibles et potentiellement de pivoter vers des systèmes clients gérés à travers le réseau.
L'avis de sécurité de Fortinet indique que la vulnérabilité a été découverte lors de tests de sécurité internes, mais des sources de renseignement sur les menaces externes suggèrent que du code d'exploitation de preuve de concept pourrait avoir circulé dans des forums clandestins depuis la mi-mars. L'entreprise n'a pas divulgué si les attaques représentent des scans opportunistes ou des campagnes ciblées contre des organisations spécifiques.
Impact critique sur tous les déploiements FortiClient EMS dans le monde
La vulnérabilité affecte toutes les versions de FortiClient EMS antérieures aux correctifs d'urgence publiés le 5 avril 2026. Les versions EMS spécifiquement impactées sont 7.0.0 à 7.0.11, EMS 7.2.0 à 7.2.3, et la dernière branche 7.4.0 jusqu'à la version 7.4.1. Les organisations utilisant l'une de ces versions avec des serveurs EMS exposés à Internet courent un risque immédiat de compromission.
Les environnements d'entreprise utilisant FortiClient EMS pour gérer la sécurité des points de terminaison à travers des forces de travail distribuées sont particulièrement vulnérables. La plateforme EMS gère généralement des milliers de points de terminaison dans les grandes organisations, rendant l'exploitation réussie une cible de grande valeur pour les attaquants cherchant à établir un accès réseau persistant. Les entreprises des secteurs des services financiers, de la santé et du gouvernement qui dépendent fortement des solutions de gestion des points de terminaison de Fortinet représentent des cibles privilégiées.
Le vecteur d'attaque nécessite un accès réseau à l'interface web EMS, ce qui signifie que les organisations avec des serveurs EMS exposés à Internet courent le plus grand risque. Cependant, les déploiements sur le réseau interne ne sont pas à l'abri, car les attaquants ayant obtenu un accès initial au réseau par d'autres moyens peuvent exploiter cette vulnérabilité pour une élévation de privilèges et un mouvement latéral. Help Net Security rapporte qu'environ 15 000 instances FortiClient EMS sont directement accessibles depuis Internet selon les données de scan de Shodan.
Les organisations utilisant FortiClient EMS dans des environnements cloud hybrides font face à une complexité supplémentaire, car la vulnérabilité pourrait potentiellement permettre aux attaquants de faire le lien entre l'infrastructure sur site et cloud via des serveurs de gestion compromis. La nature centralisée des déploiements EMS signifie qu'une seule exploitation réussie peut impacter les politiques de sécurité des points de terminaison à travers tout un réseau d'entreprise, désactivant effectivement les mécanismes de protection sur des milliers d'appareils gérés.
Correction immédiate requise pour la mitigation de CVE-2026-35616
Fortinet a publié des correctifs d'urgence que les organisations doivent déployer immédiatement pour remédier à CVE-2026-35616. Les versions corrigées incluent FortiClient EMS 7.0.12, EMS 7.2.4, et EMS 7.4.2, toutes disponibles via le portail client de Fortinet et les mécanismes de mise à jour automatique. Les organisations doivent prioriser le correctif des serveurs EMS exposés à Internet en premier, suivis des déploiements internes basés sur la segmentation du réseau et les contrôles d'accès.
Pour les organisations incapables d'appliquer immédiatement les correctifs, Fortinet recommande de mettre en œuvre des solutions temporaires pour réduire l'exposition. Celles-ci incluent la restriction de l'accès réseau aux serveurs EMS via des règles de pare-feu, la désactivation des fonctionnalités d'interface web inutiles, et l'activation de mécanismes d'authentification supplémentaires lorsque possible. Cependant, l'entreprise souligne que ces mesures ne fournissent qu'une protection limitée et ne peuvent pas entièrement atténuer la vulnérabilité.
Les administrateurs système doivent vérifier l'installation réussie des correctifs en vérifiant la version EMS via l'interface web ou la ligne de commande. Les versions corrigées incluent des améliorations de sécurité spécifiques aux routines de validation d'entrée et aux protections de contournement de l'authentification. Les organisations doivent également examiner les journaux d'accès EMS pour détecter des modèles d'activité suspecte, en se concentrant particulièrement sur les tentatives d'authentification échouées et les requêtes API inhabituelles provenant de sources externes.
Au-delà de la correction immédiate, Fortinet recommande de mettre en œuvre une segmentation du réseau pour isoler les serveurs EMS de l'accès direct à Internet lorsque cela est opérationnellement faisable. Les organisations doivent également revoir leurs politiques de gestion des points de terminaison pour s'assurer que les serveurs EMS compromis ne peuvent pas être utilisés pour affaiblir les contrôles de sécurité à travers les appareils gérés. Des évaluations de sécurité régulières des déploiements EMS, y compris des scans de vulnérabilité et des tests de pénétration, peuvent aider à identifier des risques similaires avant qu'ils ne soient exploités dans la nature.
