Die Sicherheitsfirma Rapid7 berichtete von erfolgreicher Ausnutzung bei zahlreichen Kunden. Die frühesten Versuche datiert das Unternehmen auf den 17. Mai 2026, gefolgt von einer zweiten Welle am 21. Mai. Beide Angriffsserien werden nach Einschätzung von Rapid7 demselben Bedrohungsakteur zugeschrieben.
In der zweiten Welle kam es in zwei Fällen zu einer VPN-IP-Zuweisung nach erfolgter Cookie-Authentifizierung, wodurch der Angreifer Zugang zum internen Netzwerk erhielt. In den betroffenen Kundenumgebungen, in denen eine VPN-Sitzung zustande kam, beobachtete der Anbieter keine weiterführenden Aktivitäten.
„Eine Authentifizierungsumgehung in einer am Netzwerkrand exponierten Unternehmens-VPN-Appliance kann erhebliche Auswirkungen auf betroffene Organisationen haben", erklärte Rapid7. Organisationen, die betroffene Geräte betreiben, sollten dringend auf einen vom Hersteller bereitgestellten Patch aktualisieren.
Als vorübergehende Gegenmaßnahmen wird empfohlen, entweder die Funktion zur Authentifizierungsumgehung zu deaktivieren oder ein neues Zertifikat zu erzeugen, das ausschließlich für diese Funktion verwendet wird.
Die Ausnutzung von CVE-2026-0257 folgt auf einen Bericht von Arctic Wolf über die anhaltende Ausnutzung einer kritischen, inzwischen gepatchten Schwachstelle im FortiClient Endpoint Management Server (EMS). Über diese Lücke, geführt als CVE-2026-35616 mit einem CVSS-Wert von 9,1, wird Schadsoftware zum Diebstahl von Zugangsdaten namens EKZ Infostealer ausgeliefert.
