Une faille critique d’injection SQL dans FortiClient EMS permet l’exécution de code et l’exfiltration de données à distance, mettant ainsi en danger des milliers de systèmes connectés à Internet.
Une autre faille critique dans un produit Fortinet a été révélée alors que les attaquants continuent de cibler l’entreprise, cette fois en exploitant activement une vulnérabilité critique d’injection SQL dans le serveur de gestion de l’entreprise de cybersécurité.
La vulnérabilité (CVE-2026-21643) permet à des acteurs malveillants non authentifiés d’exécuter du code arbitraire sur des systèmes non corrigés via des requêtes HTTP spécialement conçues. Ces attaques de faible complexité ciblent le FortiClient Endpoint Management Server (EMS), un outil de cybersécurité largement utilisé.
Le CVE a fait l’objet d’abus il y a à peine quatre jours, selon une étude de la société Red Teaming Defused Cyber, et reflète une tendance inquiétante pour le géant de la cybersécurité, qui sert plus de 900 000 clients.
« Il s’agit du septième CVE SQL de Fortinet au cours des 12 derniers mois, et c’est franchement sept de trop », a déclaré David Shipley de Beauceron Security.
Donne un large accès aux données sensibles
FortiClient EMS fournit une gestion, un déploiement et une surveillance centralisés des agents de point de terminaison FortiClient sur de nombreuses plates-formes. CVE-2026-21643 a été découvert en interne par l’équipe de sécurité de Fortinet et publié le 6 février. Il affecte FortiClient EMS version 7.4.4 lorsque le mode multi-tenant est activé. Les déploiements sur site unique ne sont pas impactés. Les entreprises devraient appliquer les correctifs immédiatement, préviennent les experts en sécurité, en passant à la version 7.4.5 ou ultérieure.
Au moment de la publication, Fortinet n’avait pas encore mis à jour son avis de sécurité pour signaler l’exploitation active du CVE.
La faille est décrite comme « une neutralisation inappropriée d’éléments spéciaux » utilisée dans une vulnérabilité de commande SQL. Cela signifie qu’une seule requête HTTP avec une valeur d’en-tête spécialement conçue est suffisante pour exécuter du SQL arbitraire sur la base de données PostgreSQL de support, selon un rapport approfondi de la société de test d’intrusion Bishop Fox. Un attaquant qui peut accéder à l’interface Web EMS via HTTPS « n’a besoin d’aucune information d’identification pour exploiter cela », indique-t-il.
« Cela permet aux attaquants d’accéder aux informations d’identification de l’administrateur, aux données d’inventaire des points de terminaison, aux politiques de sécurité et aux certificats des points de terminaison gérés », ont écrit les chercheurs. Ils ont souligné que le point final renvoie des messages d’erreur de base de données et ne dispose d’aucune protection de verrouillage, permettant aux attaquants d’extraire rapidement des données sensibles.
La Shadowserver Foundation, un organisme de surveillance de la sécurité à but non lucratif, suit actuellement plus de 2 400 instances FortiClient EMS avec des interfaces Web exposées à Internet, la majorité d’entre elles aux États-Unis et en Europe. Et Shodan, un moteur de recherche pour les appareils connectés à Internet, a signalé 1 000 instances de FortiClient EMS exposées publiquement.
L’injection SQL, un problème majeur de sécurité des applications
Shipley de Beauceron a souligné les dangers de l’injection SQL, soulignant que cette vulnérabilité était la première parmi les 10 principaux risques de sécurité des applications de l’OWASP lorsque la fondation open source a été lancée il y a plus de 20 ans. Le type d’attaque est resté en tête pendant la majeure partie de cette période, « pour une bonne raison ».
« Vous ne voulez pas que ce genre de bugs conduise à l’exécution de code à distance, (mais) dans les configurations multi-sites de ce service, c’est ce que vous pouvez obtenir », a déclaré Shipley.
Victor Okorie, directeur consultatif du département sécurité et confidentialité d’Info-Tech Research Group, est d’accord avec l’évaluation de Shipley selon laquelle les vulnérabilités d’injection SQL sont particulièrement dangereuses.
La plupart des contrôles existants ne détectent pas de telles failles, a-t-il souligné, ce qui permet le vol d’informations d’identification, permet des mouvements latéraux en raison de la « confiance implicite » du SME et permet la manipulation et l’exfiltration de données sensibles. Les attaquants peuvent exécuter des commandes non autorisées et contourner complètement l’authentification, « ce qui facilite l’accès ».
« Le manuel du mauvais acteur consiste à « entrer », « prendre le contrôle » et « profiter », et c’est quelque chose que nous devrions toujours garder à l’esprit lorsque nous examinons les vulnérabilités exploitées dans la nature », a déclaré Okorie.
Souligne l’importance du zéro confiance
Fortinet a récemment été une cible privilégiée pour les acteurs de la menace, les attaquants utilisant l’IA pour exploiter des pare-feu faiblement protégés, lançant des attaques zero-day contre les appareils des clients et volant les informations d’identification du pare-feu FortiGate. La société a également été critiquée pour avoir appliqué des correctifs « silencieux » après avoir révélé des vulnérabilités zero-day dans certains de ses équipements.
Au total, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis répertorie 24 vulnérabilités Fortinet activement exploitées.
Cela souligne l’importance d’une architecture zéro confiance, a déclaré Okorie. Les organisations devraient vérifier si leur EMS est accessible sur Internet, a-t-il conseillé ; si tel est le cas, ils doivent le retirer de toute exposition directe à Internet et le placer derrière une passerelle d’accès sécurisée. Les entreprises doivent également inspecter les journaux de trafic HTTP pour détecter toute syntaxe SQL anormale intégrée dans l’en-tête « Site ».
« Les vieux chiens n’ont pas vraiment besoin de nouveaux tours, et cela peut s’appliquer ici », a déclaré Okorie. Étant donné que les vulnérabilités de Fortinet ont été utilisées dans des campagnes de ransomware, « il existe un sentiment de familiarité » pour les attaquants, qui continuent d’identifier et d’exploiter les faiblesses.
Fortinet doit être « plus proactif »
« Fortinet semble avoir du mal à résoudre des classes de bogues entières », a ajouté Shipley de Beauceron. Ils semblent continuer à jouer au « bug whack-a-mole », résolvant le problème immédiat mais ne prenant pas le temps d’examiner les bases de code en profondeur pour découvrir le même code défectueux dans d’autres domaines.
« Les attaquants, en revanche, sentent le sang », a-t-il noté. Une fois qu’ils auront constaté que ce type de bug se répète, ils affineront leurs tentatives de piratage pour en découvrir davantage.
Avec les outils d’IA accélérant le travail des attaquants, Fortinet doit être plus proactif dans la chasse aux bogues, a déclaré Shipley. Mais cela étant dit, a-t-il observé, les revenus de l’entreprise ont continué de croître de plus de 14 % en 2025, « le marché n’envoie donc pas exactement un signal fort indiquant qu’ils devraient s’en soucier davantage ».
