FortiClient EMS fait face à des attaques visant une faille critique corrigée depuis des semaines. En cause, des serveurs encore vulnérables et des interfaces de gestion toujours accessibles depuis Internet.
Début février, Fortinet publiait un correctif pour une faille critique affectant FortiClient EMS, sa plateforme d’administration destinée aux environnements d’entreprise. Aujourd’hui, celles et ceux qui n’auraient pas encore installé le patch n’ont plus le temps d’attendre. Selon Defused, société spécialisée dans la surveillance des cybermenaces, la vulnérabilité CVE-2026-21643 (CVSS 9.1) fait désormais l’objet d’une exploitation active, quelques semaines à peine après sa divulgation, alors que plusieurs milliers de systèmes vulnérables sont encore exposés sur Internet.
Une faille SQL exploitable sans authentification
Dans le détail, CVE-2026-21643 touche l’interface web de FortiClient EMS, la console qui permet aux équipes informatiques de déployer et d’administrer les agents FortiClient dans un parc d’entreprise. Le problème relève d’une vulnérabilité d’injection SQL, un type de faille qui permet à un attaquant d’envoyer à l’application des requêtes malveillantes interprétées comme des commandes légitimes par la base de données. Dans le cas présent, l’exploitation ne requiert même pas d’authentification préalable. Un acteur malveillant peut donc viser directement un serveur exposé sur Internet, sans avoir à compromettre un compte en amont.
Dans son avis de sécurité publié début février, Fortinet avait bien précisé que cette faiblesse pouvait conduire à l’exécution de code ou de commandes sur les systèmes non corrigés. On ne parle donc pas ici d’un simple défaut de validation ou d’une fuite d’information limitée, mais d’une vulnérabilité susceptible d’ouvrir la voie à une prise de contrôle du serveur concerné.
Les premiers éléments techniques relayés par Defused indiquent que l’attaque passerait par l’en-tête HTTP Site, utilisé pour faire transiter des instructions SQL jusqu’à l’interface web, alors que les interfaces FortiClient EMS visibles en ligne se comptent encore par milliers. Shadowserver en suit actuellement près de 2 000 sur Internet, principalement aux États-Unis et en Europe, tandis que Shodan en indexe plus de 1 000. Les chiffres varient selon les méthodes de comptage, mais ils décrivent tous la même réalité, celle d’un nombre encore important de serveurs de gestion directement joignables depuis l’extérieur.
Une seule version concernée, un correctif déjà disponible
L’exploitation en cours viserait très précisément les serveurs tournant encore sous FortiClient EMS 7.4.4, la seule version explicitement signalée comme vulnérable par Fortinet dans son avis de sécurité. Le problème a été corrigé dans la version 7.4.5, à installer sans attendre, donc.
De manière plus générale, on rappellera qu’une interface de gestion n’a pas vocation à rester accessible depuis Internet lorsqu’elle peut être cantonnée à un réseau d’administration, à un VPN ou à une liste d’adresses autorisées.
Pour les environnements qui seraient restés accessibles ces dernières semaines et qui n'auraient pas été patchés dans les temps, un examen des journaux permettra de repérer d'éventuelles requêtes anormales ou des tentatives d'exploitation déjà engagées. Dans ce cas, il ne faudra pas se contenter d’appliquer le patch, mais traiter le serveur comme potentiellement compromis, l’isoler, vérifier l’étendue de l’intrusion et engager les mesures de remédiation qui s’imposent.
Une injection SQL permet de faire exécuter à l’application des requêtes non prévues, en jouant sur des champs ou paramètres mal filtrés, jusqu’à lire ou modifier des données dans la base. « Sans authentification » signifie que l’attaquant n’a pas besoin de compte ni de session valide pour tenter l’exploitation : l’interface exposée suffit. Sur une console d’administration, la base de données contient souvent des informations sensibles (inventaire, politiques, jetons, comptes) et sert de pivot vers d’autres fonctions. Dans les cas graves, l’injection SQL peut être chaînée pour aboutir à l’exécution de commandes côté serveur, donc à une compromission complète. Le niveau de risque grimpe encore si le service est accessible directement depuis Internet.
Que mesure exactement le score CVSS 9.1 pour une vulnérabilité comme CVE-2026-21643 ?Le CVSS est un barème standardisé (0 à 10) qui estime la gravité d’une vulnérabilité à partir de critères techniques comme l’exploitabilité et l’impact. Un 9.1 correspond à une vulnérabilité « critique » : elle est généralement exploitable à distance, avec un fort potentiel d’atteinte à la confidentialité, l’intégrité et la disponibilité. Le score ne garantit pas qu’une attaque est en cours, mais il indique qu’un correctif doit être prioritaire, surtout si l’accès est réseau et sans prérequis. CVSS ne remplace pas l’analyse de contexte (exposition Internet, journalisation, segmentation), mais aide à trier les urgences. En pratique, une faille critique sur une interface d’administration doit être traitée comme un incident potentiel tant que la surface d’exposition n’est pas réduite.
Pourquoi laisser une interface de gestion accessible depuis Internet augmente fortement le risque, même avec un patch disponible ?Une interface de gestion est une cible à forte valeur : elle concentre des droits élevés et pilote des fonctions sensibles, ce qui attire l’exploitation opportuniste. Tant qu’elle est joignable depuis Internet, elle peut être scannée et attaquée en continu (automatisation, bots, exploitation de masse), y compris pendant les délais de déploiement des correctifs. La bonne pratique consiste à réduire la surface d’attaque : accès via VPN, réseau d’administration dédié, filtrage par liste d’IP, ou au minimum un reverse proxy avec contrôle d’accès strict. Même après mise à jour, limiter l’exposition réduit le risque lié aux futures failles (0-day) et aux erreurs de configuration. En cas de retard de patch, l’exposition Internet transforme une vulnérabilité en compromission probable plutôt qu’en risque théorique.
