Des pirates exploitent une vulnérabilité critique dans FortiClient Endpoint Management Server (FortiClient EMS) depuis au moins la fin du mois de mars. Le fournisseur a publié un avis de sécurité et mis à disposition un correctif d'urgence pouvant être appliqué aux déploiements concernés jusqu'à la sortie d'une version corrigée. Cette faille, désormais référencée sous le numéro CVE-2026-35616, permet à des attaquants non authentifiés d'exécuter à distance du code arbitraire sur FortiClient EMS, que les entreprises utilisent pour gérer, surveiller, provisionner, corriger, mettre en quarantaine et contrôler les systèmes endpoints. La faille au score CVSS 9,1 est critique et a été ajoutée lundi par la Cisa, l'agence américaine de cybersécurité et de sécurité des infrastructures, à son catalogue des vulnérabilités connues pour être exploitées. Elle affecte FortiClient EMS 7.4.5 et 7.4.6. La société prévoit de la corriger dans la prochaine version 7.4.7. En attendant, un correctif peut être appliqué au serveur EMS Linux via la ligne de commande. Le problème a été corrigé côté serveur sur FortiClient Cloud et FortiSASE, seuls les déploiements sur site sont donc concernés.
Les chercheurs de la société spécialisée dans la prévention de l'exposition aux risques Watchtowr ont constaté pour la première fois l'exploitation de cette vulnérabilité le 31 mars 2026, quelques jours avant que Fortinet ne publie son avis de sécurité et son correctif. Compte tenu du caractère zero day de cette faille, les utilisateurs doivent vérifier si leurs déploiements ont été compromis, en plus d'appliquer le correctif. « Le moment choisi pour l'intensification de l'exploitation active de cette faille zero day n'est probablement pas une coïncidence », a déclaré Benjamin Harris, CEO de Watchtowr, à CSO. « Les attaquants ont montré à maintes reprises que les week-ends fériés constituent le moment idéal pour passer à l'action. Les équipes de sécurité sont réduites de moitié, les ingénieurs de garde sont distraits, et le délai entre la compromission et la détection s'étend de quelques heures à plusieurs jours. Pâques, comme n'importe quel autre jour férié, représente une opportunité. »
Deuxième vulnérabilité RCE dans FortiClient EMS cette année
Cet incident survient après que Fortinet ait corrigé en février une autre faille dans FortiClient EMS, que des pirates avaient également commencé à exploiter dans la nature. Cette vulnérabilité, référencée en tant que CVE-2026-21643, était une injection SQL donnant la capacité à des pirates non authentifiés d'exécuter des commandes arbitraires. Ce problème contourne l'authentification résultant d'un contrôle d'accès inadéquat dans l'API de FortiClient EMS. Elle permet aux attaquants d'exécuter du code sur le serveur sous-jacent sans identifiants valides ni interaction de l'utilisateur. « Le lien entre ces deux vulnérabilités n'a pas été confirmé, et l'attribution à un acteur malveillant spécifique n'a pas été établie », ont déclaré les chercheurs de Watchtower.
Outre le correctif, les entreprises devraient examiner leurs journaux disponibles à la recherche de toute requête API ou activité suspecte. Malheureusement, aucun indicateur de compromission n’a encore été publié concernant cette activité malveillante. Watchtowr recommande donc de vérifier toutes les modifications récentes apportées aux politiques de sécurité des terminaux, aux profils de configuration VPN, aux règles de pare-feu applicatif, aux comptes administrateur et aux contrôles d’accès, ainsi qu’aux configurations de conformité des terminaux. « Si vous soupçonnez une compromission, n’essayez pas de nettoyer l’instance affectée sur place », ont déclaré les chercheurs. « Restaurez à partir d'une sauvegarde valide effectuée avant la période de compromission probable, ou reconstruisez l'instance EMS et migrez les données vers celle-ci. Lorsque l'intégrité ne peut être vérifiée avec certitude, une reconstruction complète est l'approche la plus sûre. »