SchwachstellenHackerangriffeCyberkriminalität

Kritische Fortinet-Lücke: CISA ordnet Notfall-Patches für Bundesbehörden an

Kritische Fortinet-Lücke: CISA ordnet Notfall-Patches für Bundesbehörden an
Zusammenfassung

Eine kritische Sicherheitslücke im FortiClient Enterprise Management Server (EMS) von Fortinet wird derzeit aktiv von Cyberkriminellen ausgenutzt und hat die Aufmerksamkeit der US-amerikanischen Cybersecurity- und Infrastrukturbehörde CISA erregt. Die als CVE-2026-35616 bezeichnete Schwachstelle ermöglicht es Angreifern, Authentifizierungs- und Autorisierungskontrollen vollständig zu umgehen und so beliebigen Code auszuführen – ohne sich vorher authentifizieren zu müssen. Fortinet hat bereits Notfall-Hotfixes bereitgestellt und bestätigt, dass Threat-Akteure die Lücke in Zero-Day-Angriffen ausnutzen. CISA hat die betroffenen US-Bundesbehörden verpflichtet, ihre Systeme bis Freitag zu patchen. Weltweit sind etwa 2.000 FortiClient-EMS-Instanzen online exponiert, darunter über 1.400 in den USA und Europa. Obwohl die Verpflichtung nur für US-Behörden gilt, warnt CISA auch deutsche und europäische Unternehmen sowie Behörden dringend, ihre Systeme unverzüglich zu sichern. Für deutsche Organisationen, die FortiClient EMS einsetzen, ist schnelles Handeln essentiell, da Fortinet-Schwachstellen regelmäßig in Cyberespionage- und Ransomware-Kampagnen exploitiert werden.

Die Schwachstelle CVE-2026-35616 stellt eine klassische Pre-Authentication-API-Bypass-Lücke dar. Sie basiert auf einer mangelhaften Zugriffskontrolle, die es Angreifern ermöglicht, speziell manipulierte Anfragen zu senden und damit ohne Authentifizierung Kommandos auszuführen. Laut Fortinet selbst wird die Lücke bereits im Feld ausgenutzt — ein sogenannter Zero-Day-Angriff, bei dem Angreifer noch vor der Verfügbarkeit von Patches zuschlagen.

Fortinet reagierte schnell und veröffentlichte bereits am Wochenende Emergency-Hotfixes für die betroffenen Versionen FortiClient EMS 7.4.5 und 7.4.6. Das Unternehmen empfiehlt dringend, diese sofort einzuspielen oder auf Version 7.4.7 zu aktualisieren, sobald diese verfügbar ist. CISA ordnete die Patches unter Verweis auf die Binding Operational Directive (BOD) 22-01 an — ein verbindlicher Erlass für alle Bundesbehörden.

Die Agentur warnte deutlich vor den Risiken: “Diese Art von Sicherheitslücke ist ein häufiger Angriffsvektor für bösartige Cyberattacken und stellt erhebliche Risiken für die föderale Infrastruktur dar.” Organisationen, die nicht patchen können, sollten die betroffenen Systeme komplett abschalten.

Fortinet-Lücken sind berüchtigt als Einstiegspunkt für Cyberespionage und Ransomware-Kampagnen. Erst im Februar folgte eine ähnliche kritische Schwachstelle (CVE-2026-21643), die ebenfalls schnell ausgenutzt wurde. Für deutsche Unternehmen mit Fortinet-Infrastruktur ist höchste Wachsamkeit geboten: Netzwerktechnik des Herstellers kommt häufig in Unternehmens- und Behördennetzwerken zum Einsatz.

Experten weisen darauf hin, dass die Sicherheitslücke besonders gefährlich ist, weil sie vor der Authentifizierung angreifbar ist. Das bedeutet, jeder mit Internetzugang zum anfälligen System könnte potenziell Zugriff erlangen. Die Internet-Überwachungsgruppe Shadowserver trackt derzeit knapp 2.000 exponierte Instanzen — eine beträchtliche Angriffsfläche.

CISA appelliert auch an den privaten Sektor, nicht nur auf Direktiven zu warten, sondern proaktiv zu handeln. Die Patch-Frist für Bundesbehörden ist strikt, aber jede Organisation sollte diese als Alarmsignal verstehen: Dieser Fehler ist ernst, und Angreifer arbeiten bereits daran, ihn auszunutzen.

Ähnliche Artikel