SchwachstellenHackerangriffe

Fortinet-Notfall-Patch: Erneut kritische Zero-Day in FortiClient entdeckt und aktiv ausgenutzt

Fortinet-Notfall-Patch: Erneut kritische Zero-Day in FortiClient entdeckt und aktiv ausgenutzt
Zusammenfassung

Fortinet muss erneut eine Notfall-Sicherheitspatches für eine kritische Sicherheitslücke bereitstellen, die bereits aktiv ausgenutzt wird. Die Zero-Day-Vulnerabilität CVE-2026-35616 betrifft das FortiClient Endpoint Management Server (EMS) und ermöglicht es unauthentifizierten Angreifern, durch manipulierte Anfragen Code auszuführen oder Befehle einzuschleusen. Mit einer CVSS-Bewertung von 9,1 gehört die Schwachstelle zu den kritischsten Sicherheitsrisiken. Dies ist bereits die zweite kritische Lücke in FortiClient EMS innerhalb weniger Wochen. Besonders besorgniserregend ist die Serie von Fortinet-Exploits, die Sicherheitsexperten in den letzten Monaten dokumentiert haben. Deutsche Unternehmen und Behörden, die FortiClient EMS einsetzen, sind direkt betroffen und müssen sofort handeln. Die US-Cybersicherheitsbehörde CISA hat die Lücke in ihren Katalog bekannter, ausgenutzer Schwachstellen aufgenommen und fordert Federal-Behörden zur Behebung bis 9. April auf. Auch für deutsche Organisationen ist schnelles Handeln essentiell, da öffentliche Exploits bereits verfügbar sind und Cyberkriminelle Fortinet-Produkte zunehmend als Angriffsziele priorisieren.

Die neu entdeckte Sicherheitslücke CVE-2026-35616 wird von Fortinet als Zugriffskontroll-Schwachstelle in seinem FortiClient Endpoint Management Server (EMS) beschrieben. Sie funktioniert als sogenannter Pre-Authentication API Access Bypass – Angreifer können die API-Autorisierung komplett umgehen und unauthentifiziert auf das System zugreifen.

Entdeckt wurde die Lücke von Simo Kohonen, Gründer und CEO des Sicherheitsunternehmens Defused, sowie von Sicherheitsforscher Nguyen Duc Anh. Besonders interessant: Defused nutzt ein neues Erkennungssystem namens Radar, ein großflächiger Anomalie-Detektor, der Exploits und verdächtige Muster in umfangreichen Honeypot-Daten aufspürt. Über dieses System wurde die Zero-Day-Aktivität erstmals registriert.

Fortinet empfiehlt allen Nutzern sofort, einen Hotfix für die FortiClient EMS-Versionen 7.4.5 und 7.4.6 zu installieren. Die nächste reguläre Version 7.4.7 wird ebenfalls einen Fix beinhalten. Nach aktuellem Stand stammen die Exploits von einer einzelnen Quelle – eine Situation, die sich jedoch schnell ändern könnte, da bereits ein öffentlicher Proof-of-Concept-Code auf GitHub verfügbar ist.

Diese Sicherheitskrise ist nicht isoliert. Erst kürzlich musste Fortinet bereits gegen CVE-2026-21643, eine kritische SQL-Injection-Lücke, Maßnahmen ergreifen, die ebenfalls aktiv ausgenutzt wurde. Die Häufung von Zero-Days bei Fortinet zeigt ein beunruhigendes Muster: Im Januar löste ein kritischer SSO-Exploit in FortiCloud für massive Bedenken, und in den Monaten davor wurden weitere kritische Flaws in FortiSIEM, FortiOS, FortiWeb und FortiProxy entdeckt.

Für deutsche Unternehmen und Behörden verschärft sich die Situation dramatisch. Fortinet-Produkte sind bei Cyberkriminellen notorisch beliebt – sowohl für neue Exploits als auch für Brute-Force-Angriffe auf schwache Zugangsdaten. Im Februar zeigten AWS-Forscher, dass Hacker mithilfe von künstlicher Intelligenz hunderte FortiGate-Geräte kompromittiert haben, indem sie schwache Credentials und exponierte Ports ausnutzten.

Das Muster ist klar: Fortinet-Nutzer sollten ihre Patch-Prozesse beschleunigen und nicht nur auf Sicherheitsupdates warten, sondern auch grundlegende Sicherheitsmaßnahmen wie starke Passwörter und Netzwerk-Segmentierung verstärken. Für Bundesbehörden gilt die zwei-Wochen-Frist bis zum 9. April – für private Unternehmen sollte die Dringlichkeit nicht geringer sein.

Ähnliche Artikel