Defused beschrieb CVE-2026-35616 auf der Plattform X als „Umgehung der API-Zugriffskontrolle vor der Authentifizierung", die es einem Angreifer erlaubt, die API-Autorisierung vollständig zu umgehen. Entdeckt wurde die Lücke nach Angaben des Unternehmens über seine in Kürze startende Funktion Radar.
„Radar ist im Grunde ein Anomalie-Detektor im großen Maßstab, der versucht, Zero-Days und andere interessante Muster aus den riesigen Mengen an Honeypot-Daten herauszufiltern, die wir aufnehmen", erklärt Kohonen. Ziel sei es, auffällige Ereignisse und Payloads für die Nutzer von Defused sichtbar zu machen. Radar soll in den kommenden Tagen öffentlich starten und habe zuvor bereits Ausnutzungsaktivität zu CVE-2026-3055 markiert, einer kritischen Schwachstelle in Citrix NetScaler ADC und NetScaler Gateway.
Der aktuelle Zero-Day folgt auf eine weitere FortiClient-EMS-Lücke, geführt als CVE-2026-21643, die kürzlich angegriffen wurde. Defused beobachtete Ausnutzungsaktivität gegen die kritische SQL-Injection-Schwachstelle, die am 6. Februar erstmals offengelegt und gepatcht wurde. Bislang gibt es laut Kohonen keine Anzeichen für überlappende Aktivitäten bei den beiden CVEs. Den Zero-Day habe man bislang von niemand anderem als dem ursprünglichen Exploit ausgenutzt gesehen – was gute Nachrichten seien, da wegen Wochenende und Feiertagen vermutlich viele noch nicht gepatcht hätten.
Die US-Behörde CISA nahm CVE-2026-35616 am Montag in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) auf. Bundesbehörden der zivilen Exekutive, die ausgenutzte Lücken üblicherweise binnen zwei Wochen schließen müssen, haben dafür bis zum 9. April Zeit.
In einem Blogbeitrag von Tenable wies der leitende Ingenieur Scott Caveza darauf hin, dass auf GitHub ein öffentlicher Proof-of-Concept-Exploit aufgetaucht sei, den die Tenable-Forscher allerdings noch nicht verifiziert hätten. Angesichts früherer Angriffe auf Fortinet-Geräte und veröffentlichten Exploit-Codes für mehrere vergangene Schwachstellen rechne man damit, dass die Ausnutzung mit weiteren Exploits weiter zunehmen werde.
Fortinet-Produkte sind zunehmend ein beliebtes Ziel für eine breite Palette von Angreifern, die offengelegte Schwachstellen oft schnell ausnutzen. Im Januar bestätigte Fortinet, dass Angreifer eine kritische Zero-Day-Lücke ausgenutzt hatten, um sich über die Single-Sign-On-Funktion von FortiCloud bei Kundensystemen anzumelden. Im selben Monat wurde CVE-2025-64155, eine kritische Command-Injection-Schwachstelle in FortiSIEM, breit ausgenutzt.
Anfang Dezember legte Fortinet zwei kritische Schwachstellen zur Umgehung der Authentifizierung in FortiOS, FortiWeb, FortiProxy und FortiSwitchManager offen; eine davon – CVE-2025-59718 – nahm die CISA rund eine Woche später in ihren KEV-Katalog auf. Im November nutzten Angreifer zudem CVE-2025-64446 aus, eine kritische Path-Traversal-Lücke in der FortiWeb-Produktreihe. Selbst ohne frische CVEs geraten Fortinet-Produkte ins Visier: Im Februar entdeckten Forscher von Amazon Web Services einen Angreifer, der mithilfe von KI Hunderte FortiGate-Geräte über schwache Zugangsdaten und offene Ports kompromittiert hatte.
