Fortinet steht unter Druck: Innerhalb von nur sieben Tagen musste der IT-Sicherheitshersteller zwei kritische Sicherheitslücken in seinem FortiClient Enterprise Management Server (EMS) adressieren. Die neueste Schwachstelle CVE-2026-35616 ist eine Zugriffskontroll-Schwachstelle, die es Angreifern ermöglicht, ohne Authentifizierung spezifisch präparierte Anfragen zu senden und damit Code auszuführen. Besonders brisant: Die Lücke wird bereits von Cyberkriminellen in der freien Wildbahn ausgenutzt.
Defused, das Cybersecurity-Unternehmen, das die Anfälligkeit entdeckte, beschrieb sie als Pre-Authentication-API-Bypass. Das bedeutet, dass Angreifer die gesamte Authentifizierungs- und Autorisierungsschicht umgehen können. Das Sicherheitsteam von Defused beobachtete die Ausnutzung als Zero-Day-Angriff bereits in dieser Woche, bevor es die Lücke verantwortungsvoll an Fortinet meldete.
Fortinet bestätigte, dass die Schwachstelle bereits in der Praxis ausgenutzt wird, und forderte betroffene Kunden dringend auf, die bereitgestellten Hotfixes für FortiClient EMS 7.4.5 und 7.4.6 sofort zu installieren. Die endgültige Lösung wird mit Version 7.4.7 kommen. FortiClient EMS 7.2 ist nicht betroffen.
Besondere Relevanz für Deutschland: Das Shadowserver-Projekt identifizierte über 2.000 exponierte FortiClient-EMS-Instanzen im Internet, wobei die Mehrheit in den USA und Deutschland lokalisiert wurde. Dies deutet darauf hin, dass deutsche Unternehmen proportional stark von dieser Sicherheitslücke betroffen sind.
Dies ist bereits die zweite kritische FortiClient-EMS-Schwachstelle in einer Woche. Vorherige Woche wurde CVE-2026-21643 bekannt, die ebenfalls aktiviert ausgenutzt wird. Auch diese wurde von Defused entdeckt.
Fortinet fordert Kunden auf, die Hotfixes unmittelbar zu installieren oder auf Version 7.4.7 zu aktualisieren, sobald diese verfügbar ist. Für deutsche IT-Administratoren und Sicherheitsverantwortliche ist schnelles Handeln essentiell, um potenzielle Kompromittierungen ihrer Systeme zu verhindern.