La communauté de sécurité est en alerte après confirmation de l'exploitation active de la vulnérabilité critique sur la plateforme de gestion des paramètres de Fortinet, FortiClient EMS. Identifiée comme CVE-2026-21643, c'est une injection SQL qui permet aux acteurs malveillants d'exécuter des commandes ou des codes à distance avec un faible niveau de complexité.
Les chercheurs de la société de renseignement Défusée ont publiquement alerté les premières tentatives d'exploitation, expliquant que les attaquants introduisent des instructions SQL malveillantes dans l'en-tête "Site" des requêtes HTTP adressées à l'interface web FortiClient EMS. Vous pouvez voir votre avertissement directement dans votre communiqué public en ligne Voilà.. Ce vecteur est particulièrement dangereux car il n'exige pas une authentification préalable pour tenter d'exploiter l'échec.
Fortinet a détecté la défaillance en interne et l'a attribuée à une version spécifique du produit: les installations avec FortiClient EMS 7.4.4 sont celles touchées. L'atténuation technique recommandée par le constructeur lui-même est de mettre à jour la version 7.4.5 ou supérieure; la note de sécurité officielle est disponible sur le portail FortiGuard de Fortinet. Pendant ce temps, certains articles de presse ont tenté de confirmer avec la société les avoirs observés, sans réponse immédiate.
La portée potentielle du problème est accrue par l'exposition à Internet de nombreux serveurs EMS. Le groupe de surveillance Shadowserver suit plus de 2 000 instances de FortiClient EMS avec l'interface Internet, largement répartie entre les États-Unis et l'Europe; son panel public de suivi est situé Voilà.. Un suivi supplémentaire avec Shodan renvoie des centaines ou des milliers d'instances publiquement identifiables, ce qui facilite le travail des acteurs à la recherche d'objectifs vulnérables ( Chercher dans Shodan).
Cet épisode correspond à un modèle connu : les faiblesses des produits Fortinet ont été la cible habituelle des campagnes Ransomware et des opérations d'espionnage, souvent exploitées très rapidement. Agence américaine pour l'infrastructure et la cybersécurité. USA (CISA) a précédemment identifié des vulnérabilités Fortinet comme exploitées dans la pratique et a commandé des correctifs urgents pour les environnements fédéraux à des occasions précédentes; vous pouvez voir le catalogue des vulnérabilités connues de CISA dans ce lien, et recherches historiques sur les défaillances liées à FortiClient EMS en particulier Voilà..
Si vous administrez FortiClient EMS, la recommandation n'est pas seulement théorique : elle agit immédiatement. Tout d'abord, faire la mise à jour à la version sécurisée (7.4.5 ou plus) dès que possible. En parallèle, si vous ne pouvez pas vous garer immédiatement, il limite l'accès à l'interface de gestion : il bloque le trafic direct depuis Internet, force l'accès par VPN ou par des listes de contrôle d'accès qui ne permettent que des PI de gestion fiables, et envisage de soumettre une WAF ou des règles d'inspection du périmètre qui filtrent les requêtes suspectes à l'en-tête HTTP en utilisant l'explosion.
En plus du patch et du confinement d'accès, il convient de commencer le travail de détection et de réponse: examiner l'interface Web et les enregistrements de serveurs pour rechercher des requêtes anormales qui incluent des données dans l'en-tête "Site", rechercher une activité inhabituelle dans les bases de données ou les processus de serveur EMS, et étendre la surveillance avec EDR / IDS pour détecter l'exécution de commandes non autorisées. S'il y a des signes d'engagement, isoler l'instance, effectuer des analyses médico-légales et restaurer les systèmes à partir de copies propres; n'oubliez pas de modifier les pouvoirs administratifs et de faire pivoter les pouvoirs des services exposés.
Enfin, notez que la vitesse est la clé. De par leur nature, les vulnérabilités de la gestion permettent des mouvements latéraux rapides au sein des réseaux d'entreprise et facilitent la livraison de charges nocives comme l'ansomware. Si votre organisation utilise FortiClient EMS, traitez cette alerte comme une priorité et coordonnez les patchs, les restrictions d'accès et les activités de détection sans délai.. Pour des informations techniques et des mises à jour officielles, voir l'onglet CVE dans le NVD Voilà., l'avis public de Fortinet à FortiGuard Voilà. et les rapports suivants d'expositions dans Shadowserver et Shodan mentionnés ci-dessus.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...