Fortinet a publié une mise à jour de sécurité urgente suite à la découverte d’une vulnérabilité critique affectant le FortiClient Enterprise Management Server (EMS). Ce problème, identifié sous la référence CVE-2026-35616, permet à des attaquants non authentifiés d’exécuter des commandes via des requêtes spéciales.
La vulnérabilité a été corrigée le samedi, Fortinet confirmant qu’elle est déjà exploitée dans la nature. L’entreprise a averti ses clients vulnérables d’installer un correctif pour les versions 7.4.5 et 7.4.6 de FortiClient EMS.
Selon le comuniqué, cette faille a un impact direct sur les versions 7.4.5 et 7.4.6 de FortiClient EMS, et il est possible de la Mitiger en installant l’un des correctifs suivants. Une correction sera également intégrée dans la prochaine version, 7.4.7. La version 7.2 de FortiClient EMS n’est pas concernée.
La vulnérabilité a été mise au jour par la société de cybersécurité Defused, qui la décrit comme un contournement d’accès à l’API avant authentification, permettant aux attaquants de dépasser complètement les contrôles d’authentification et d’autorisation. Defused a signalé avoir observé cette faille exploitée comme un zero-day plus tôt cette semaine, avant de la communiquer à Fortinet dans le cadre d’une divulgation responsable.
Le groupe de surveillance de la sécurité internet Shadowserver a relevé plus de 2 000 instances de FortiClient EMS exposées sur internet, la majorité se trouvant aux États-Unis et en Allemagne.
Cette vulnérabilité est survenue après la révélation d’une autre faille critique, CVE-2026-21643, signalée la semaine dernière et également exploitée dans des attaques. Les deux vulnérabilités ont été découvertes par Defused, avec un crédit également attribué à Nguyen Duc Anh pour la dernière.
Fortinet demande à ses clients d’appliquer les correctifs sans délai ou de passer à la version 7.4.7 dès sa disponibilité afin de réduire le risque de compromission.