CVE-2026-35616 : FortiClient EMS exploité via de faux correctifs pour diffuser l’infostealer EKZ

CVE-2026-35616 : FortiClient EMS exploité via de faux correctifs pour diffuser l’infostealer EKZ

Une vulnérabilité critique dans le serveur de gestion des terminaux FortiClient de Fortinet est désormais activement exploitée dans la nature. Répertoriée sous le nom CVE-2026-35616, cette faille est utilisée par des acteurs malveillants pour diffuser le malware infostealer EKZ par une méthode particulièrement trompeuse : un faux correctif logiciel. La campagne de vol d’identifiants exploitant la vulnérabilité de FortiClient EMS cible les organisations qui s’appuient sur une gestion centralisée des terminaux, transformant ainsi leur propre infrastructure de sécurité en vecteur d’attaque.

Pour les équipes informatiques et de sécurité qui gèrent des effectifs distribués ou en télétravail, il ne s’agit pas d’une menace abstraite. La chaîne d’attaque est conçue pour paraître légitime, ce qui la rend particulièrement dangereuse.

Comment la CVE-2026-35616 est exploitée dans la nature

La CVE-2026-35616 affiche un score CVSS de 9,1 et permet un contournement de l’authentification préalable ainsi qu’une élévation de privilèges au sein de FortiClient EMS. Concrètement, les attaquants peuvent accéder au serveur de gestion sans identifiants valides et exécuter des commandes avec des niveaux de privilèges élevés.

Ce qui distingue cette campagne d’une tentative d’exploitation classique, c’est la couche d’ingénierie sociale qui l’enveloppe. Les acteurs malveillants diffusent un faux correctif déguisé en mise à jour légitime du logiciel concerné. Lorsqu’un administrateur ou un terminal géré traite ce correctif frauduleux, celui-ci exécute silencieusement des commandes PowerShell malveillantes en arrière-plan. La victime voit ce qui semble être une mise à jour normale ; l’attaquant prend pied.

Fortinet a publié des correctifs en avril après avoir confirmé que la vulnérabilité avait été exploitée en tant que vulnérabilité zero-day, ce qui signifie que des attaques étaient en cours avant qu’un correctif ne soit disponible. Les organisations qui n’ont pas appliqué ces correctifs restent exposées, mais même les environnements corrigés peuvent être à risque si le leurre du faux correctif a été diffusé avant la remédiation.

Ce que vole l’infostealer EKZ et qui est à risque

Une fois que les commandes PowerShell malveillantes s’exécutent, l’infostealer EKZ est déployé sur le terminal compromis. Son objectif principal est la collecte d’identifiants. Le malware cible spécifiquement les identifiants stockés dans les navigateurs, y compris les noms d’utilisateur et mots de passe enregistrés dans les navigateurs les plus courants, ainsi que d’autres données sensibles accessibles sur la machine gérée.

Comme FortiClient EMS est conçu pour gérer les terminaux d’une organisation depuis une console unique, une compromission réussie n’affecte pas qu’une seule machine. Les attaquants qui obtiennent un accès via le serveur EMS peuvent potentiellement atteindre tous les terminaux sous son égide de gestion. Cela rend le rayon d’impact d’un seul événement d’exploitation bien plus large que la compromission d’un appareil isolé.

Les organisations les plus directement exposées sont celles qui utilisent FortiClient EMS pour gérer des effectifs en télétravail ou hybrides, où les terminaux sont répartis entre les réseaux domestiques, les bureaux distants et d’autres environnements situés en dehors du périmètre traditionnel de l’entreprise. Les travailleurs à distance stockent fréquemment des identifiants dans les navigateurs par commodité, ce qui fait de ces terminaux des cibles de grande valeur pour les infostealers.

Pourquoi les outils de sécurité des terminaux ne suffisent pas pour les équipes distantes

Il y a une ironie douloureuse dans cette campagne. FortiClient est lui-même un produit de sécurité des terminaux, et son serveur de gestion est désormais utilisé comme mécanisme de diffusion de malware. Cela souligne un principe plus large que les équipes de sécurité reconnaissent souvent en théorie, mais peinent à mettre en pratique : aucun outil de sécurité unique n’est suffisant à lui seul.

Les plateformes de sécurité des terminaux sont des composants précieux d’une stratégie de défense, mais ce sont aussi des logiciels, et les logiciels présentent des vulnérabilités. Lorsqu’un outil de gestion centralisé est compromis, il peut neutraliser les protections qu’il était censé appliquer. Les attaquants le comprennent, c’est pourquoi les interfaces de gestion et les infrastructures de sécurité sont devenues des cibles prioritaires.

Pour les équipes distantes en particulier, la surface d’attaque s’étend bien au-delà de l’appareil géré. Le trafic réseau, la transmission des identifiants et les flux d’authentification traversent tous des environnements que l’organisation ne contrôle pas entièrement. Des contrôles superposés, incluant des protections au niveau réseau, des politiques d’accès zero-trust et des pratiques d’hygiène rigoureuses pour les identifiants, sont des compléments nécessaires aux outils de sécurité des terminaux, et non des options facultatives.

La méthode de diffusion par faux correctif utilisée dans cette campagne met également en lumière la manière dont le processus de mise à jour lui-même peut être exploité. Si les employés ou les administrateurs sont conditionnés à installer des correctifs à la demande, les attaquants peuvent militariser ce comportement. Vérifier l’authenticité des correctifs via les canaux officiels de l’éditeur avant leur installation est une étape cruciale que cette campagne tente précisément de contourner.

Comment renforcer votre organisation contre les attaques par faux correctifs et infostealers

Pour les organisations utilisant FortiClient EMS, la priorité immédiate est d’appliquer les correctifs officiels de Fortinet exclusivement via les canaux de mise à jour vérifiés. Ne vous fiez pas aux invites ou aux liens transmis par e-mail, chat ou via des interfaces inconnues.

Au-delà du correctif immédiat, voici des mesures concrètes qui méritent d’être priorisées :

• Auditez les terminaux gérés à la recherche de signes de compromission. Recherchez des événements d’exécution PowerShell inattendus, des connexions sortantes inhabituelles ou des preuves d’activité de collecte d’identifiants dans les magasins de données des navigateurs.
• Limitez l’accès au serveur de gestion. FortiClient EMS ne doit pas être exposé à l’internet public sans contrôles d’accès stricts. Limitez qui peut atteindre l’interface de gestion et à partir d’où.
• Imposez l’authentification multifacteur sur tous les points d’accès à distance. Les identifiants de navigateur volés sont les plus dangereux lorsqu’ils offrent un accès direct aux systèmes de l’entreprise. La MFA brise cette chaîne.
• Sensibilisez les administrateurs aux tactiques de faux correctifs. Les attaques d’ingénierie sociale ciblant le personnel informatique sont de plus en plus fréquentes. Les équipes qui comprennent la tactique sont moins susceptibles d’en être victimes.
• Évaluez les contrôles au niveau réseau pour les terminaux distants. Les outils qui chiffrent et authentifient le trafic des appareils distants ajoutent une couche de protection qui complète la sécurité des terminaux, en particulier lorsque l’outil de sécurité du terminal lui-même est compromis.

La campagne CVE-2026-35616 nous rappelle qu’il est essentiel de comprendre la différence entre une vulnérabilité corrigée et une menace entièrement atténuée. Même après l’application des correctifs, les organisations doivent rechercher si le leurre du faux correctif a déjà pu être exécuté dans leur environnement. Le moment de l’application du correctif et les contrôles complémentaires font tous deux partie de l’équation, ce qui explique pourquoi les cadres de sécurité considèrent de plus en plus la protection des terminaux comme une couche parmi d’autres, et non comme une solution isolée.

Si votre organisation gère une main-d’œuvre distante, c’est le bon moment pour auditer non seulement votre déploiement FortiClient EMS, mais aussi votre stratégie de sécurité superposée dans son ensemble. Identifier les lacunes avant que la prochaine campagne ne les exploite est une posture bien meilleure que de réagir après que des identifiants ont déjà été volés.