Une vulnérabilité critique dans FortiClient EMS permet aux attaquants d’accéder aux systèmes sans authentification. La vulnérabilité serait déjà exploitée dans la nature.
Fortinet fait face à des attaques actives sur une vulnérabilité critique de sa plateforme FortiClient EMS, permettant aux attaquants de prendre le contrôle de systèmes sans authentification. La vulnérabilité, CVE-2026-21643, est déjà exploitée dans la nature selon des chercheurs.
Attaque possible sans connexion
La faille concerne une injection SQL dans l’interface web de FortiClient EMS. Les attaquants peuvent injecter du code malveillant via des requêtes HTTP spécialement conçues et ainsi exécuter des commandes sur les systèmes vulnérables. Il est à noter que cela peut se produire sans aucune forme d’authentification, ce qui rend le seuil d’exploitation particulièrement bas.
Selon les données de chercheurs en sécurité, des milliers d’instances FortiClient EMS sont directement exposées à Internet. Cela augmente considérablement le risque d’attaques à grande échelle. Les attaquants utilisent une technique où les commandes SQL sont « passées en fraude » via des en-têtes HTTP, une méthode qui peut être plus difficile à détecter.
Correctif disponible, mais pas encore appliqué partout
La vulnérabilité affecte la version 7.4.4 de FortiClient EMS et est résolue dans la version 7.4.5 et les versions ultérieures. Pourtant, les premières exploitations montrent que de nombreux systèmes n’ont pas encore été corrigés. Fortinet n’a pas encore officiellement marqué la vulnérabilité comme « activement exploitée », mais des chercheurs externes confirment que des attaques ont déjà lieu.
Les vulnérabilités des produits Fortinet sont souvent rapidement reprises par les cybercriminels pour des campagnes de ransomware et d’espionnage. Pour les entreprises utilisant FortiClient EMS, le message est clair : mettez à jour immédiatement et limitez, dans la mesure du possible, l’exposition des interfaces de gestion à Internet.