Die neu entdeckte Sicherheitslücke CVE-2026-35616 stellt eine ernsthafte Bedrohung dar und unterscheidet sich von bisherigen Schwachstellen durch ihren unauthentifizierten Charakter. Ein Angreifer benötigt keine gültigen Zugangsdaten, um die Lücke auszunutzen – es genügen speziell präparierte API-Anfragen. Fortinet beschreibt das Problem als “improper access control vulnerability” nach CWE-284, die es ermöglicht, Autorisierungsschutzmaßnahmen zu umgehen und damit beliebige Befehle auf dem System auszuführen.
Besonders alarmierend ist, dass dies bereits die zweite kritische, unauthentifizierte Schwachstelle in FortiClient EMS innerhalb weniger Wochen ist. Kurz zuvor wurde CVE-2026-21643 mit ebenfalls CVSS 9.1 bekannt und ebenfalls bereits aktiv ausgenutzt. Es ist unklar, ob die gleichen Angreifer hinter beiden Exploits stecken oder ob die Lücken in koordinierten Angriffsmustern kombiniert werden.
Fortinet hat bereits einen Hotfix für die betroffenen Versionen veröffentlicht und kündigt eine vollständige Behebung in Version 7.4.7 an. Die Patches sind jedoch nicht automatisch verteilt worden – Administratoren müssen aktiv handeln.
Das Timing der Ausnutzung ist nach Aussage von watchTowr-Chef Benjamin Harris bewusst gewählt. Die Angreifer nutzten das Osterwochenende, als Sicherheitsteams dünn besetzt sind und On-Call-Ingenieure abgelenkt sind. Diese Strategie ist bei Cyberkriminellen bekannt: Zwischen Kompromittierung und Entdeckung können sich dann Tage statt Stunden vergehen.
Experten warnen eindringlich: Unternehmen mit internetgebundenen FortiClient EMS-Installationen sollten dies als Notfallsituation behandeln und nicht bis Dienstagmorgen warten. Der Hotfix sollte sofort eingespielt werden, denn die Angreifer haben bereits einen Vorsprung. Deutschsprachige Organisationen sollten ihre IT-Sicherheitsteams informieren und die Patches priorisieren.