SchwachstellenMalwareCyberkriminalität

Kritische Sicherheitslücke in FortiClient EMS: Hacker verteilen Credential-Stealer EKZ

Von CyberDeutsch Redaktion
Kritische Sicherheitslücke in FortiClient EMS: Hacker verteilen Credential-Stealer EKZ
Zusammenfassung

Eine kritische Sicherheitslücke im FortiClient Enterprise Management Server (EMS) wird derzeit aktiv von Cyberkriminellen ausgenutzt, um Malware in Unternehmungsnetzwerke einzuschleusen. Die Authentifizierungslücke CVE-2026-35616 ermöglicht es unauthentifizierten Angreifern, beliebigen Code auszuführen und die Verwaltungskonsole zu kompromittieren. Hacker nutzen diese Schwachstelle, um den Infostealer EKZ zu verbreiten, indem sie die Malware geschickt als Fortinet-Update tarnen und über VPN-Skripte auf Endpunkten ausführen. Das Malware-Programm stiehlt systematisch Anmeldedaten, Kreditkartendaten und Browser-Cookies von betroffenen Computern. Fortinet bestätigte die Ausnutzung im April und veröffentlichte Notfall-Patches, doch die Shadowserver Foundation dokumentierte damals bereits etwa 2.000 exponierte EMS-Instanzen im Internet. Für deutsche Unternehmen und Behörden mit Fortinet-Infrastruktur stellt diese Lücke ein erhebliches Risiko dar. Jede Organisation, die FortiClient EMS einsetzt, sollte sofort überprüfen, ob ihre Systeme vollständig aktualisiert sind, verdächtige Administratoraktivitäten in den Logs analysieren und ihre Remote-Access-Profile auf unbefugte Änderungen überprüfen. Die Bundesbehörden in den USA wurden bereits zur Sofortsicherung angeordnet.

Die Sicherheitsforscher von Arctic Wolf dokumentieren erstmals detailliert, wie Angreifer die Lücke CVE-2026-35616 in der Praxis ausnutzen. Der Angriff folgt einer raffinierten Methodik: Zunächst manipulieren die Täter über die fehlende Zugriffskontrolle die EMS-Konfiguration und VPN-Richtlinien. Sekunden nachdem ein Endpoint einen IPsec-Tunnel zu einem FortiGate-Firewall aufbaut, wird die legitime fortitray.exe-Anwendung missbraucht, um bösartige Batch-Skripte über die Kommandozeile zu starten.

Diese Skripte führen dann einen base64-codierten PowerShell-Payload aus, der die versteckte Malware herunterlädt – präsentiert als authentisches Fortinet-Patch. Nach der Installation exfiltriert EKZ Daten via HTTP an Server unter Kontrolle der Angreifer.

Die EKZ-Infostealer-Malware selbst ist funktional umfangreich: Sie zielt auf Chrome-, Edge- und Firefox-basierte Browser ab und extrahiert gespeicherte Anmeldedaten, Kreditkartennummern, Adressen und Cookies. Besonders kritisch: Durch das Abgreifen von Authentifizierungs-Cookies können Angreifer auch auf Konten mit Zwei-Faktor-Authentifizierung zugreifen.

Arctic Wolf empfiehlt Unternehmen, nach spezifischen Log-Einträgen zu suchen. Ein Indikator ist die Fehlermeldung “Certificate not found in request header”, gefolgt von erfolgreicher Zertifikat-Aktualisierung. Verdächtige administrative Aktivitäten – neue Benutzerkonten, Anmeldungen von Tor-IP-Adressen oder VPS-Servern, unerwartete Änderungen an Remote Access Profiles – sind ebenfalls Alarmsignale.

Für deutsche Unternehmen ist die Situation kritisch. Viele nutzen Fortinet-Produkte für Fernzugriff und VPN-Infrastruktur. Die DSGVO-Meldepflicht (Art. 33) tritt in Kraft, sobald ein Datenverlust von persönlichen Daten droht – Bußgelder können bis zu 4 Prozent des Jahresumsatzes betragen. Das BSI hat bereits mehrfach vor der Welle aktiver Ausnutzungen gewarnt.

Organisationen sollten sofort handeln: Alle betroffenen FortiClient EMS-Versionen müssen gepatcht werden. Gleichzeitig sollten Logs der letzten Wochen auf Anomalien durchsucht und Zertifikat-Authentifizierungen überprüft werden.

Ähnliche Artikel