CVE-2026-35616 : faille critique FortiClient EMS exploitée activement en zero-day

🗓️ Contexte

Source : BleepingComputer — publié le 5 avril 2026. Fortinet a publié en urgence un correctif le week-end pour une nouvelle vulnérabilité critique affectant FortiClient Enterprise Management Server (EMS), confirmant son exploitation active dans la nature.

🔍 Détails de la vulnérabilité

• CVE : CVE-2026-35616
• Type : Contrôle d’accès inapproprié (improper access control) — contournement d’authentification et d’autorisation en pré-authentification
• Impact : Permet à des attaquants non authentifiés d’exécuter du code ou des commandes via des requêtes spécialement forgées
• Versions affectées : FortiClient EMS 7.4.5 et 7.4.6
• Versions non affectées : FortiClient EMS 7.2
• Correctif disponible : Hotfix pour les versions 7.4.5 et 7.4.6 ; correction définitive prévue dans FortiClientEMS 7.4.7

🚨 Exploitation

La vulnérabilité a été exploitée en zero-day avant sa divulgation à Fortinet. La société de cybersécurité Defused a observé l’exploitation active en début de semaine avant de la signaler à Fortinet via un processus de divulgation responsable. Fortinet crédite également Nguyen Duc Anh pour la découverte.

🌍 Exposition

L’organisation Shadowserver a recensé plus de 2 000 instances FortiClient EMS exposées sur Internet, avec une majorité localisée aux États-Unis et en Allemagne.

🔗 Contexte élargi

Cette vulnérabilité fait suite à une autre faille critique FortiClient EMS, CVE-2026-21643, signalée la semaine précédente et également exploitée activement. Les deux vulnérabilités ont été découvertes par Defused.

📌 Nature de l’article

Article de type alerte de sécurité visant à informer les administrateurs de l’existence d’une exploitation active et de la disponibilité d’un correctif d’urgence.

🧠 TTPs et IOCs détectés

TTP

• T1190 — Exploit Public-Facing Application (Initial Access)
• T1059 — Command and Scripting Interpreter (Execution)
• T1078 — Valid Accounts (Defense Evasion)
• T1556 — Modify Authentication Process (Credential Access)

IOC

• CVEs : CVE-2026-35616 — NVD · CIRCL
• CVEs : CVE-2026-21643 — NVD · CIRCL

🟡 Indice de vérification factuelle : 51/100 (moyenne)

• ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
• ✅ 2128 chars — texte partiel (10pts)
• ✅ 2 IOC(s) (6pts)
• ⬜ pas d’IOC vérifié (0pts)
• ✅ 4 TTPs MITRE identifiées (15pts)
• ⬜ date RSS ou approximée (0pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ 0/2 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/new-fortinet-forticlient-ems-flaw-cve-2026-35616-exploited-in-attacks/