# CISA ordonne aux agences fédérales de corriger une vulnérabilité FortiClient EMS activement exploitée  La **CISA** a émis une directive urgente pour que les agences fédérales corrigent leurs instances **FortiClient Enterprise Management Server (EMS)** d'ici vendredi afin de remédier à la **CVE-2026-35616**, une vulnérabilité activement exploitée dans la nature. ## Détails de la vulnérabilité Découverte par **Defused**, cette faille de sécurité est un contournement d'accès API avant authentification. Elle permet aux attaquants de contourner complètement les mécanismes d'authentification et d'autorisation, conduisant potentiellement à un accès non autorisé et au contrôle des systèmes affectés. **Fortinet** a publié des correctifs d'urgence pour remédier à la vulnérabilité, expliquant qu'elle découle d'une faiblesse de contrôle d'accès inapproprié. Les attaquants non authentifiés peuvent l'exploiter pour exécuter du code ou des commandes arbitraires en envoyant des requêtes spécialement conçues. ## Exploitation active et atténuation **Fortinet** a confirmé que des acteurs malveillants exploitent activement cette vulnérabilité dans des attaques zero-day. Il est fortement conseillé aux administrateurs informatiques d'appliquer immédiatement les correctifs fournis ou de passer à la version 7.4.7 de **FortiClient EMS** dès qu'elle sera disponible. « **Fortinet** a observé que cela était exploité dans la nature et exhorte les clients vulnérables à installer le correctif pour **FortiClient EMS** 7.4.5 et 7.4.6 », a déclaré la société. ## Instances exposées **Shadowserver**, un groupe de surveillance de la sécurité Internet, suit actuellement près de 2 000 instances **FortiClient EMS** exposées en ligne, avec un nombre important situé aux États-Unis et en Europe. Le nombre exact de configurations corrigées ou vulnérables reste inconnu.  *Instances FortiClient EMS exposées en ligne (Shadowserver)* ## Directive et recommandations de la CISA Lundi, la **CISA** a ajouté la **CVE-2026-35616** à son catalogue des vulnérabilités connues exploitées (KEV) et a ordonné aux agences de la branche exécutive civile fédérale (FCEB) de corriger leurs instances **FortiClient EMS** avant jeudi minuit, le 9 avril, conformément à la directive opérationnelle contraignante (BOD) 22-01. « Ce type de vulnérabilité est un vecteur d'attaque fréquent pour les cybercriminels et présente des risques importants pour l'entreprise fédérale », a averti la **CISA**. L'agence recommande d'appliquer les mesures d'atténuation conformément aux instructions du fournisseur, de suivre les directives applicables de la BOD 22-01 pour les services cloud, ou d'arrêter l'utilisation du produit si les mesures d'atténuation ne sont pas disponibles. Bien que la BOD 22-01 soit spécifique aux agences fédérales américaines, la **CISA** encourage vivement tous les défenseurs, y compris ceux du secteur privé, à prioriser la correction de la **CVE-2026-35616** pour sécuriser les réseaux de leurs organisations. ## Vulnérabilités Fortinet récurrentes **Fortinet** a précédemment corrigé une autre faille critique de **FortiClient EMS** (**CVE-2026-21643**) en février, qui avait également été identifiée comme étant exploitée dans des attaques. Les vulnérabilités **Fortinet** sont fréquemment exploitées dans des campagnes d'espionnage cybernétique et des attaques ransomware, souvent en tant que bugs zero-day, pour compromettre les réseaux d'entreprise. Récemment, **Fortinet** a bloqué les connexions SSO **FortiCloud** depuis des appareils exécutant des versions de firmware vulnérables pour atténuer les attaques zero-day **CVE-2026-24858**.