Critical Fortinet Forticlient EMS flaw now exploited in attacks

Exploitation active de la faille critique dans Fortinet FortiClient EMS

La plateforme Fortinet FortiClient EMS fait face à une exploitation active d’une vulnérabilité critique. Bien que non encore répertoriée officiellement sur les listes de vulnérabilités exploitées (KEV), des données de renseignement sur les menaces confirment le détournement de cette faille par des attaquants depuis plusieurs jours. Plus d’un millier d’instances de FortiClient EMS sont actuellement exposées publiquement sur Internet, offrant une surface d’attaque importante pour des campagnes de ransomware ou d’espionnage.

Points clés :

• Vecteur d’attaque : Injection SQL via l’en-tête “Site” dans des requêtes HTTP malveillantes ciblant l’interface web (GUI).
• Impact : Exécution de code ou de commandes arbitraires à distance par des acteurs non authentifiés.
• Exposition : Près de 1 000 à 2 000 instances vulnérables sont accessibles en ligne, principalement aux États-Unis et en Europe.

Vulnérabilité :

• CVE-2026-21643 : Faille d’injection SQL critique affectant la version 7.4.4.

Recommandations :

• Mise à jour immédiate : Appliquer sans délai le correctif en passant à la version 7.4.5 ou une version ultérieure.
• Réduction de la surface d’attaque : Limiter l’exposition des interfaces de gestion des instances FortiClient EMS sur le réseau public en utilisant des accès restreints (VPN, listes blanches IP, etc.).

Source