🔍 Contexte

Rapport publié le 27 avril 2026 par CrowdSec sur la plateforme VulnTracking, basé sur la télémétrie du réseau CrowdSec. L’article documente le passage de CVE-2026-21643 du stade d’advisory à celui d’exploitation active en environnement réel.

🎯 Vulnérabilité ciblée

CVE-2026-21643 est une injection SQL non authentifiée affectant Fortinet FortiClient EMS version 7.4.4, la plateforme de gestion centralisée des endpoints Fortinet. Le score CVSS est de 9.1 (critique).

Le vecteur d’attaque repose sur :

  • Des requêtes vers l’endpoint /api/v1/init_consts
  • L’injection de SQL malveillant via le header HTTP Site
  • Aucune authentification requise

Les impacts possibles incluent : confirmation de vulnérabilité via erreurs DB, extraction ou manipulation de données, et potentiellement exécution de code ou commandes selon la configuration du serveur.

📅 Chronologie

  • 6 février 2026 : Divulgation par Fortinet (advisory FG-IR-25-1142)
  • 13 avril 2026 : Ajout au catalogue KEV de la CISA
  • 15 avril 2026 : Publication d’une règle de détection par CrowdSec
  • 20 avril 2026 : Première exploitation in-the-wild détectée
  • 27 avril 2026 : 51 IPs attaquantes distinctes observées

📊 Paysage de menace

L’activité est qualifiée de réelle mais mesurée : 51 IPs distinctes entre le 20 et le 27 avril, sans vague massive de type spray-and-pray. CrowdSec classe la phase d’exploitation comme « données insuffisantes » pour une classification comportementale plus forte.

Des ressources publiques facilitent l’exploitation :

  • PoC public : dépôt 0xBlackash
  • Template Nuclei public : ProjectDiscovery (CVE-2026-21643)

🏢 Systèmes concernés

FortiClient EMS gère les profils VPN, politiques de conformité, protection endpoint et posture des appareils. Une compromission de ce système donne accès à des systèmes d’identité, inventaires d’endpoints et configurations d’accès distant.

Versions affectées : 7.4.4 — Versions non affectées : 7.2.x et 8.0.x

📄 Type d’article

Rapport de vulnérabilité à visée CTI, publié par CrowdSec pour alerter les défenseurs sur une menace active et fournir des données d’exploitation issues de leur réseau de capteurs.

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1505 — Server Software Component (Persistence)
  • T1059 — Command and Scripting Interpreter (Execution)

IOC

  • URLs : /api/v1/init_constsURLhaus
  • CVEs : CVE-2026-21643NVD · CIRCL

Malware / Outils

  • Nuclei (tool)

🟡 Indice de vérification factuelle : 46/100 (moyenne)

  • ⬜ crowdsec.net — source non référencée (0pts)
  • ✅ 5909 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 2 IOC(s) (6pts)
  • ⬜ 0/1 IOCs confirmés externellement (0pts)
  • ✅ 3 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.crowdsec.net/vulntracking-report/cve-2026-21643-forticlient-ems-sql-injection-exploitation