Faible critique de Fortinet Forticlient EMS désormais exploitée dans des attaques

Une vulnérabilité critique de Fortinet exploitée activement

Une faille de sécurité majeure affectant la plateforme FortiClient EMS de Fortinet fait l’objet d’exploitations actives, selon la société de renseignement sur les menaces Defused. Cette vulnérabilité, référencée CVE-2026-21643, est de type injection SQL et permet à des attaquants non authentifiés d’exécuter du code arbitraire sur les systèmes non corrigés.

L’attaque, de complexité faible, cible l’interface web d’administration via des requêtes HTTP spécialement conçues. Defused indique avoir observé les premières exploitations il y a déjà quatre jours, alors que cette faille n’est pour le moment pas répertoriée comme exploitée dans le catalogue CISA KEV.

FortiClient EMS exposed online (Shadowserver)

Le vecteur d’attaque consiste à faire passer des commandes SQL via l’en-tête ‘Site’ d’une requête HTTP. Selon les chiffres de l’observatoire Shadowserver, plus de 2 000 instances du logiciel sont exposées sur internet, dont une majorité situées aux États-Unis et en Europe. Une recherche parallèle sur Shodan en recense près d’un millier.

Découverte en interne par un membre de l’équipe de sécurité produit de Fortinet, cette vulnérabilité touche la version 7.4.4 de FortiClient EMS. Le correctif est disponible depuis la mise à jour vers la version 7.4.5. Fortinet n’a pas encore mis à jour son avis de sécurité pour y indiquer l’activité malveillante en cours.

Une cible récurrente pour les cybercriminels

Les failles affectant les solutions Fortinet sont régulièrement exploitées par des groupes de rançongiciel ou dans le cadre d’opérations d’espionnage, souvent avant même la publication d’un correctif. Récemment, l’entreprise a dû contrer des attaques zero-day exploitant la vulnérabilité CVE-2026-24858 en bloquant certaines connexions.

Cette nouvelle alerte rappelle un incident survenu en mars 2024, lorsque la Cybersecurity and Infrastructure Security Agency américaine avait sommé les agences fédérales de corriger une autre injection SQL sur FortiClient EMS. Cette faille avait été utilisée par des ransomwares et par le groupe lié à l’État chinois Salt Typhoon pour pénétrer des opérateurs télécoms.

Au total, le CISA a listé 24 vulnérabilités Citrix comme étant activement exploitées, dont treize ayant servi à des attaques par rançongiciel.

Faible critique de Fortinet Forticlient EMS désormais exploitée dans des attaques

Une vulnérabilité critique de Fortinet exploitée activement

Une cible récurrente pour les cybercriminels

MacBook Neo + AirPods 4 à prix cassé grâce à ce code réduction Cdiscount

EZVIZ EP8 Ultra : Sonnette connectée avatar double objectif qui surveille même les colis

EZVIZ C9C 3K : Caméra de sécurité Wi-Fi double objectif pour surveiller sans angle mort

One Sec l’application qui met fin à votre anxiété numérique

POCO F7 Pro contre POCO X8 Pro Max : une expérience premium complète ou une puissance et une autonomie à profusion, telle est la question

Les smartphones OnePlus confrontés à un problème inquiétant de surchauffe

Peut-on imposer des règles de mot de passe strictes dans Active Directory sans exaspérer les utilisateurs

GCHQ établit les plans pour un système national de cyberdéfense par IA, une première mondiale

TEST Edifier M90 : Les enceintes compactes suréquipées pour PC, TV et smartphone

TEST BLUETTI FridgePower : Votre frigo à l’abri des coupures électriques

TEST BLUETTI Elite 400 : Que vaut vraiment la plus ambitieuse batterie de la gamme Elite