Une menace majeure plane sur la sécurité des réseaux d’entreprise. En effet, des attaquants exploitent activement la vulnérabilité de FortiClient EMS. Cette faille, référencée CVE-2026-21643, affiche un score de sévérité critique de 9,1. Elle permet à des pirates distants de prendre le contrôle total des serveurs de gestion. Par conséquent, les organisations doivent agir immédiatement pour protéger leurs infrastructures.
Un vecteur d’attaque par injection SQL sans authentification
L’origine du problème réside dans une mauvaise gestion des commandes SQL. Plus précisément, l’interface web d’administration ne filtre pas assez les entrées des utilisateurs. Ainsi, un attaquant non authentifié peut injecter des instructions malveillantes. Il n’a besoin d’aucun identifiant valide pour réussir son intrusion.
Les cybercriminels ciblent particulièrement le point de terminaison /api/v1/init_consts. Par ailleurs, ils insèrent des codes malveillants directement dans l’en-tête Site d’une requête HTTP GET. Par exemple, ils utilisent des commandes de sommeil temporel pour tester la réponse du serveur. Cette méthode discrète permet de confirmer la vulnérabilité de FortiClient EMS avant de lancer l’assaut final.
Un risque majeur pour les entreprises et les institutions
Selon les données de Shodan, environ 1 000 instances sont actuellement exposées sur Internet. Cette situation attire inévitablement les groupes de rançongiciels. En effet, une intrusion réussie permet de dérober des données confidentielles. De plus, les attaquants peuvent installer des portes dérobées pour un accès permanent.
Pourquoi la version 7.4.4 est-elle dangereuse ?
L’alerte concerne spécifiquement la version 7.4.4 de FortiClient EMS. Cependant, les versions 7.2 et 8.0 restent protégées contre ce défaut précis. Les experts de Fortinet ont découvert cette faille en interne début février 2026. Malgré cela, les campagnes d’exploitation ont débuté très rapidement. En conséquence, les administrateurs système ne peuvent plus se permettre d’attendre.
Analyse des indicateurs de compromission (IoC)
Les équipes de sécurité doivent surveiller les journaux de trafic réseau. En effet, des requêtes anormales vers l’API signalent souvent une tentative d’intrusion. Par exemple, l’adresse IP 104.192.92[.]135 est déjà associée à ces attaques. Cependant, d’autres sources peuvent apparaître dans les jours à venir.
La solution : Mettre à jour vers la version 7.4.5
La remédiation technique est l’unique moyen de stopper cette menace. Ainsi, les organisations doivent installer la version 7.4.5 de FortiClient EMS sans délai. Ce correctif neutralise les éléments spéciaux au sein des requêtes SQL.
En plus de la mise à jour, il est prudent de restreindre l’accès à l’interface d’administration. En effet, limiter l’exposition publique réduit considérablement la surface d’attaque. La vulnérabilité de FortiClient EMS prouve que la veille sécuritaire est un combat quotidien. Seule une réaction rapide garantira la résilience de vos systèmes d’information.
En conclusion, ne négligez pas cette alerte critique. La sécurité de vos points de terminaison dépend de votre réactivité face à la faille CVE-2026-21643.
