Fortinet rief betroffene Kunden ausdrücklich dazu auf, den Hotfix für FortiClient EMS 7.4.5 und 7.4.6 einzuspielen. Alternativ soll die Version FortiClient EMS 7.4.7 für ein Upgrade bereitstehen, sobald sie verfügbar ist. „Fortinet hat beobachtet, dass diese Lücke in freier Wildbahn ausgenutzt wird, und fordert gefährdete Kunden dringend auf, den Hotfix zu installieren", erklärte das Unternehmen.

Wie groß die potenziell exponierte Angriffsfläche ist, zeigen Daten der Sicherheitsorganisation Shadowserver: Sie verzeichnet derzeit knapp 2.000 online erreichbare FortiClient-EMS-Instanzen, davon mehr als 1.400 IP-Adressen in den USA und in Europa. Angaben dazu, wie viele davon bereits gepatcht sind oder verwundbare Konfigurationen aufweisen, liegen nicht vor.

CISA nahm CVE-2026-35616 in ihren Known-Exploited-Vulnerabilities-Katalog (KEV) auf und verpflichtete die zivilen Bundesbehörden (FCEB) auf Grundlage der Binding Operational Directive (BOD) 22-01, ihre FortiClient-EMS-Instanzen fristgerecht abzusichern. Diese Art von Schwachstelle sei „ein häufiger Angriffsvektor für böswillige Akteure und stellt erhebliche Risiken für das Bundesnetzwerk dar", warnte die Behörde. Sie empfahl, die Vorgaben des Herstellers umzusetzen, die einschlägigen Hinweise von BOD 22-01 für Cloud-Dienste zu befolgen oder das Produkt nicht weiter zu nutzen, falls keine Gegenmaßnahmen verfügbar sind.

Obwohl BOD 22-01 nur für US-Bundesbehörden gilt, rief CISA alle Verteidiger – auch jene in der Privatwirtschaft – dazu auf, das Schließen der Lücke vorrangig zu behandeln.

Es ist nicht das erste Mal in jüngster Zeit, dass FortiClient EMS betroffen ist: Bereits zuvor schloss Fortinet eine weitere kritische Lücke in dem Produkt (CVE-2026-21643), die ebenfalls kurz darauf als in Angriffen ausgenutzt gemeldet wurde. Fortinet-Schwachstellen werden häufig – oft als Zero-Day-Lücken – in Spionagekampagnen und Ransomware-Angriffen genutzt, um in Unternehmensnetzwerke einzudringen. Zuletzt blockierte Fortinet FortiCloud-SSO-Verbindungen von Geräten mit verwundbaren Firmware-Versionen, um Zero-Day-Angriffe auf CVE-2026-24858 einzudämmen.