Exploitée à l’état sauvage avant l’avis de Fortinet, la vulnérabilité permet à des attaquants non authentifiés d’exécuter à distance du code arbitraire.
Les pirates exploitent une vulnérabilité critique dans FortiClient Endpoint Management Server (FortiClient EMS) depuis au moins fin mars. Fortinet a publié un avis et publié un correctif d’urgence qui peut être appliqué aux déploiements concernés jusqu’à ce qu’une version corrigée puisse être publiée.
La vulnérabilité, désormais identifiée comme CVE-2026-35616, permet à des attaquants non authentifiés d’exécuter à distance du code arbitraire sur FortiClient EMS, que les organisations utilisent pour gérer, surveiller, provisionner, corriger, mettre en quarantaine et surveiller les systèmes de points de terminaison. La faille est notée 9,1 (critique) dans le Common Vulnerability Scoring System et a été ajoutée lundi par l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) à son catalogue Know Exploited Vulnerabilities.
La vulnérabilité affecte FortiClient EMS 7.4.5 et 7.4.6. La société prévoit de corriger la vulnérabilité dans la prochaine version 7.4.7. En attendant, un correctif peut être appliqué au serveur EMS Linux via la ligne de commande. Le problème a été corrigé côté serveur sur FortiClient Cloud et FortiSASE, de sorte que seuls les déploiements sur site sont concernés.
Les chercheurs de la société de sécurité watchTowr ont découvert pour la première fois l’exploitation de cette vulnérabilité le 31 mars, quelques jours avant que Fortinet ne publie son avis et son correctif. En raison de ce statut Zero Day, les utilisateurs doivent vérifier les déploiements pour déceler d’éventuels compromis, en plus d’appliquer le correctif.
Deuxième FortiClient EMS RCE cette année
Cet incident zero-day survient après que Fortinet a corrigé une autre faille dans FortiClient EMS en février que les attaquants ont également commencé à exploiter dans la nature. Cette vulnérabilité, identifiée comme CVE-2026-21643, était une faille d’injection SQL qui permettait à des attaquants non authentifiés d’exécuter des commandes arbitraires.
La nouvelle vulnérabilité est un problème de contournement d’authentification qui découle d’un contrôle d’accès inapproprié dans l’API FortiClient EMS. Il permet aux attaquants d’exécuter du code sur le serveur sous-jacent sans informations d’identification valides ni interaction de l’utilisateur.
« Les deux vulnérabilités n’ont pas été confirmées comme liées et l’attribution à un acteur menaçant spécifique n’a pas été établie », ont déclaré les chercheurs de watchTowr.
Atténuation et réponse
En plus du correctif, les organisations doivent examiner leurs journaux disponibles pour détecter toute demande et activité d’API suspecte. Malheureusement, il n’existe pas encore d’indicateurs publiés de compromission pour cette activité malveillante, c’est pourquoi watchTowr recommande d’auditer toutes les modifications récentes apportées aux politiques de sécurité des points finaux, aux profils de configuration VPN, aux règles de pare-feu des applications, aux comptes d’administrateur et aux contrôles d’accès, ainsi qu’aux configurations de conformité des points finaux.
« Si une compromission est suspectée, n’essayez pas de nettoyer l’instance affectée sur place », ont déclaré les chercheurs. « Restaurez à partir d’une sauvegarde connue effectuée avant la fenêtre de compromission probable, ou reconstruisez l’instance EMS et migrez les données vers celle-ci. Lorsque l’intégrité ne peut pas être vérifiée en toute confiance, une reconstruction complète est l’approche la plus défendable. »
