CVE-2026-35616 : faille pre-auth CVSS 9.1 dans FortiClient EMS activement exploitée
Fortinet a patché en urgence FortiClient EMS pour une faille de contournement pré-authentification (CVSS 9.1) permettant l'exécution de code arbitraire. Exploitée dans la nature depuis le 31 mars 2026, ajoutée au CISA KEV le 6 avril. Patch : version 7.4.7.
Le 6 avril 2026, la CISA ajoutait CVE-2026-35616 à son catalogue Known Exploited Vulnerabilities, signalant une exploitation active dans la nature depuis au moins le 31 mars. Fortinet avait dû publier un patch hors cycle pour FortiClient EMS, son système de gestion centralisée des endpoints VPN. Les agences fédérales américaines (FCEB) ont eu 72 heures pour appliquer le correctif — une fenêtre exceptionnellement courte, reflet de la gravité perçue.
Le mécanisme : contournement pré-auth de l'API
CVE-2026-35616 est classé CWE-284 (Improper Access Control), CVSS 9.1. La faille réside dans le composant API REST de FortiClient EMS : un attaquant non authentifié peut construire des requêtes HTTP spécialement forgées pour accéder à des endpoints normalement réservés aux administrateurs, sans fournir de crédentiel valide.
Ce contournement d'accès initial ouvre la voie à une élévation de privilèges, puis à l'exécution de code arbitraire sur le serveur EMS. Le vecteur est réseau, la complexité d'attaque faible, et aucune interaction de l'utilisateur n'est requise. Tout serveur FortiClient EMS exposé directement sur Internet — ou accessible depuis un segment de réseau compromis — doit être considéré comme potentiellement compromis s'il tourne sur une version vulnérable.
Versions affectées et correctif
- Vulnérables : FortiClient EMS 7.4.5 à 7.4.6
- Patch complet : mise à niveau vers FortiClient EMS 7.4.7
- Hotfix intermédiaire : disponible via Fortinet Support pour les organisations ne pouvant pas upgrader immédiatement
- Les versions antérieures à 7.4.5 ne sont pas affectées par cette variante spécifique
Chronologie de la divulgation
| Date | Événement |
|---|---|
| 31 mars 2026 | Premiers exploits détectés sur honeypots |
| 6 avril 2026 | Ajout CISA KEV, alerte FCEB (deadline 9 avril) |
| 6 avril 2026 | Alerte CSA Singapore (al-2026-031) |
| ~8 avril 2026 | Disponibilité FortiClient EMS 7.4.7 |
La faille a été découverte par Simo Kohonen de Defused Cyber et Nguyen Duc Anh, qui ont effectué une divulgation responsable. L'équipe watchTowr a publié une analyse technique du bypass d'authentification.
Contexte et portée
FortiClient EMS est déployé dans des milliers d'organisations pour la gestion centralisée des clients VPN FortiClient : il contrôle les profils de connexion, les politiques de sécurité endpoint, et les configurations réseau des postes de travail d'entreprise. Une console EMS compromise donne accès à ces configurations sensibles et ouvre potentiellement la voie au mouvement latéral vers des segments réseaux protégés.
La faille s'inscrit dans un pattern récurrent : les interfaces de gestion d'appliances réseau (FortiClient, FortiGate, Palo Alto Panorama, Cisco ISE) constituent une surface d'attaque premium pour les acteurs étatiques et les ransomwares. La présence de CVE-2026-35616 dans le catalogue KEV — avec obligation de remédiation pour les agences fédérales — confirme que l'exploitation observée dépasse le niveau des tests de concept.
Actions prioritaires
- Vérifier la version de FortiClient EMS déployée (
7.4.5ou7.4.6→ upgrade obligatoire) - Inspecter les logs de l'API REST pour des accès non authentifiés anormaux depuis le 31 mars 2026
- Si exploitation suspectée avant l'application du patch : traiter comme un incident complet, révoquer les clés de configuration et mener une analyse de compromission
- Segmenter l'accès à la console EMS si l'upgrade immédiat est impossible