Akute Gefahrenlage für FortiClient EMS
Es ist ein Szenario, das IT-Administratoren am liebsten meiden: Out-of-Band-Patches an einem Feiertagswochenende. Doch genau das hat Fortinet am vergangenen Wochenende notwendig gemacht. Das Unternehmen hat einen kritischen Zero-Day in seiner Endpoint-Management-Lösung FortiClient EMS geschlossen, der bereits aktiv in der Wildnis ausgenutzt wird. Die Schwachstelle mit der Kennung CVE-2026-35616 (CVSS-Score: 9.1) ermöglicht es Angreifern, ohne vorherige Authentifizierung Befehle auszuführen – ein Albtraum für jeden Sicherheitsverantwortlichen.
Die Technik hinter CVE-2026-35616
Der Fehler ist klassisch, aber umso folgenschwer: Es handelt sich um eine "Improper Access Control"-Schwachstelle (CWE-284), die zu einem Pre-Authentication API Access Bypass führt. Vereinfacht gesagt bedeutet das, dass ein unauthentifizierter Angreifer die Authentifizierungs- und Autorisierungsmechanismen der API umgehen kann. Durch speziell manipulierte HTTP-Requests (Crafted Requests) lässt sich so eine Privilegieneskalation erzwingen, was im schlimmsten Fall die Ausführung von beliebigem Schadcode auf dem System bedeutet.
Betroffen sind die Versionen FortiClient EMS 7.4.5 bis 7.4.6. Ein vollständiger Fix ist erst für die kommende Version 7.4.7 geplant, allerdings hat Fortinet nun einen dringenden Hotfix zur Verfügung gestellt. Entdeckt und gemeldet wurde die Lücke von Simo Kohonen von Defused Cyber sowie Nguyen Duc Anh. Defused Cyber vermeldete zudem, dass der Zero-Day bereits in dieser Woche aktiv ausgenutzt wurde – ein Fakt, den auch die Honeypots von watchTowr bestätigen, welche bereits am 31. März 2026 erste Ausnutzungsversuche protokollierten.
Ein besorgniserregendes Muster
So gravierend dieser einzelne Vorfall auch ist, die wahre Brisanz liegt im Kontext. Es ist erst wenige Tage her, dass ein weiterer, ebenfalls kritischer Zero-Day in FortiClient EMS (CVE-2026-21643, CVSS 9.1) unter aktiver Ausnutzung gepatcht werden musste. Dass innerhalb kürzester Zeit zwei unauthentifizierte Schwachstellen mit dem höchsten Schweregrad in ein und demselben Produkt auftauchen, wirft ein schlechtes Licht auf die Code-Qualitätssicherung des Herstellers.
FortiClient EMS ist als zentrale Verwaltungsinstantz für Endgeräte konzipiert. Fällt diese Instanz einem Angriff zum Opfer, hat der Angreifer nicht nur einen Server kompromittiert, sondern potenziell die Kontrolle über alle verwalteten Endpunkte im Netzwerk. Es ist derzeit unklar, ob dieselben Bedrohungsakteure hinter den Angriffen auf beide Schwachstellen stecken und ob diese gar verkettet (Chained) werden. Für Verteidiger ändert das jedoch wenig an der Dringlichkeit des Handelns.
Feiertage als taktisches Zeitfenster
Ein besonders interessanter Aspekt dieses Vorfalls ist das Timing. Die massenhafte Ausnutzung der Schwachstelle begann rund um das Osterwochenende. Benjamin Harris, CEO von watchTowr, bringt dies im Bericht von The Hacker News auf den Punkt: Das Timing sei kaum zufällig. Feiertage sind für Angreifer das ideale Zeitfenster. Security-Teams sind personell unterbesetzt, Bereitschaftsdienste sind abgelenkt, und die Zeitspanne zwischen einer Kompromittierung und der Entdeckung dehnt sich von Stunden auf Tage aus. "Ostern ist wie jeder andere Feiertag eine Gelegenheit", so Harris.
Seine Kritik an der Gesamtsituation ist vernichtend: Dies sei bereits die zweite unauthentifizierte Schwachstelle in FortiClient EMS innerhalb von Wochen. Organisationen, die ihr EMS im Internet exponiert haben, müssten dies als absoluten Notfall betrachten. "Warten Sie nicht bis Dienstagmorgen. Wenden Sie den Hotfix an. Angreifer haben bereits einen Vorsprung.", warnt Harris zurecht.
CISA zieht Notbremse
Die Bedeutung der Lücke wird auch durch die Reaktion der US-Behörden unterstrichen. Die Cybersecurity and Infrastructure Security Agency (CISA) hat CVE-2026-35616 am 6. April 2026 umgehend in ihren Known Exploited Vulnerabilities (KEV) Katalog aufgenommen. Bundesbehörden (FCEB) haben strikte Vorgaben, die Lücke bis zum 9. April zu schließen – eine ungewöhnlich kurze Frist, die die Akuität der Bedrohungslage unterstreicht.
Fazit für Administratoren
Wer FortiClient EMS in den Versionen 7.4.5 oder 7.4.6 im Einsatz hat und das System – auch nur teilweise – dem Internet ausgesetzt hat, handelt jetzt. Es gilt der Grundsatz: Patchen schlägt Recherche. Der Hotfix muss sofort eingespielt werden. Zudem sollte dieser Vorfall ein Weckruf sein, kritische Verwaltungsoberflächen grundsätzlich nicht öffentlich zugänglich zu machen. Zero-Trust-Architekturen und VPN-Zugriffe sind für Management-Interfaces kein Luxus, sondern eine Notwendigkeit. Wenn das Sicherheitsschild selbst zur Waffe wird, hilft nur schnelles Handeln.
Quelle: The Hacker News
