Die Schwachstelle CVE-2026-35616 ist ein klassisches Remote-Code-Execution-Problem, das über manipulierte HTTP-Anfragen ausgelöst werden kann. Was sie besonders gefährlich macht: FortiClient EMS fungiert als zentrales Verwaltungssystem für Geräte, Richtlinien und Konfigurationen. Wer Zugriff auf die EMS-Appliance erhält, kann im schlimmsten Fall alle angeschlossenen Endgeräte kommandieren.
In den aktuellen Angriffsszenarien nutzen Cyberkriminelle genau diese Mechanik. Sie schleusen scheinbare Fortinet-Patches ein und triggern so PowerShell-Befehle auf den verwalteten Endpoints. Für Nutzer sieht dies aus wie eine legitime Sicherheitsoperation – tatsächlich werden aber Backdoors oder Info-Stealer aktiviert.
Die eingesetzte EKZ-Infostealer-Malware hat es speziell auf Browser-Daten abgesehen. Chrome, Microsoft Edge, Firefox und Chromium-basierte Browser werden ausgespäht, um Anmeldedaten, Cookies und autovervollständigte Formularfelder zu entwenden. Die gekllauten Informationen werden anschließend per HTTP exfiltriert. Besonders tückisch: Die Schadsoftware verlässt sich auf einfache Logfile-Ausgabe und nicht auf direkte Netzwerkverbindungen – das erschwert Detektionen erheblich.
Actic Wolf belegt durch ihre Analyse, dass Angreifer offensichtlich Detailkenntnisse über die betroffenen Netzwerk-Umgebungen hatten. Die präzise Exploitation über FortiClient-Management-Workflows deutet auf gezielte Angriffe hin – möglicherweise auf Basis vorangegangener Aufklärung oder Insider-Wissen.
Fortinet hatte die Lücke bereits Anfang April 2024 mit Patches gelöst und als Zero-Day gewarnt. Trotzdem: Die US-amerikanische CISA hat CVE-2026-35616 erst am 6. April auf ihre Liste bekannter, aktiv ausgebeuteter Schwachstellen gesetzt. Für Unternehmen gilt nun höchste Alarmstufe. Wer FortiClient EMS einsetzt, sollte Updates unverzüglich einspielen. Verzögerungen erhöhen das Risiko exponentiell – jede ungepatzte Installation ist potenziell ein Zugangspunkt für Massenkompromittierung der gesamten Endpoint-Flotte.