SchwachstellenHackerangriffeCyberkriminalität

Kritische Sicherheitslücke in Fortinet FortiClient EMS wird bereits aktiv ausgenutzt

Kritische Sicherheitslücke in Fortinet FortiClient EMS wird bereits aktiv ausgenutzt
Zusammenfassung

Eine kritische Sicherheitslücke in Fortinets FortiClient EMS Platform wird bereits aktiv von Angreifern ausgenutzt. Die als CVE-2026-21643 gekannte SQL-Injection-Schwachstelle ermöglicht es unauthentifizierten Bedrohungsakteuren, über einfache Angriffe auf die webbasierte Benutzeroberfläche beliebige Code oder Befehle auf ungestützten Systemen auszuführen. Das Sicherheitsunternehmen Defused hat die erste Ausbeutung bereits vor vier Tagen dokumentiert, obwohl die Sicherheitsbehörde CISA die Lücke noch nicht als exploitiert in der Wild gekennzeichnet hat. Nach Angaben von Shodan sind etwa 1.000 Instanzen von FortiClient EMS öffentlich zugänglich, während das Internet-Sicherheitsunternehmen Shadowserver über 2.000 exponierte Systeme mit offenen Web-Interfaces trackt. Die Schwachstelle betrifft FortiClient EMS Version 7.4.4 und kann durch ein Update auf Version 7.4.5 oder höher behoben werden. Für deutsche Unternehmen und Behörden, die Fortinet-Produkte einsetzen, stellt dies eine erhebliche Gefahr dar, da Fortinet-Lücken regelmäßig für Ransomware-Anschläge und Cyber-Spionagekampagnen ausgenutzt werden. Eine prompte Aktualisierung aller betroffenen Systeme ist dringend erforderlich.

Die Bedrohung ist konkret und unmittelbar. Defused hat die erste aktive Ausnutzung der Schwachstelle CVE-2026-21643 bereits vor vier Tagen dokumentiert – obwohl die Lücke auf der CISA-Liste der “Known Exploited Vulnerabilities” noch nicht als angegriffen markiert ist. Das zeigt eine gefährliche Lücke zwischen tatsächlichen Bedrohungen und offizieller Warnung.

Die technische Details offenbaren die Gefährlichkeit: Angreifer schleusen SQL-Befehle über den “Site”-Header in HTTP-Anfragen ein, die auf die Web-Oberfläche (GUI) von FortiClient EMS abzielen. Dies erfordert nur minimale technische Komplexität und ermöglicht unauthentifizierten Attackern, beliebigen Code auszuführen. Betroffen ist die Version 7.4.4 und darunter. Ein Update auf Version 7.4.5 oder später behebt das Problem – allerdings nur, wenn Unternehmen diesen Patch auch tatsächlich einspielen.

Das größte Problem: Die Sichtbarkeit. Mit fast 1.000 öffentlich erreichbaren FortiClient EMS-Instaneln im Internet sind potenzielle Ziele einfach zu finden. Die Shadowserver Foundation hat sogar über 2.000 Systeme mit exponierten Web-Interfaces dokumentiert. Diese Systeme sind wie offene Türen für Cyberkriminelle.

Fortinets Anfälligkeit für Ausnutzung ist nicht neu. CISA hat bereits 24 Fortinet-Schwachstellen als aktiv ausgenutzt katalogisiert, 13 davon wurden in Ransomware-Angriffen verwendet. Historisch besonders brisant: Im März 2024 zwang CISA US-Bundesbehörden, eine ähnliche SQL-Injection-Lücke in FortiClient EMS zu patchen, nachdem diese von der chinesischen Spionagegruppe Salt Typhoon gegen Telekommunikationsanbieter eingesetzt wurde.

Fortinet selbst hat die Schwachstelle noch nicht in seinen offiziellen Sicherheitsberatungen als ausgenutzt markiert – ein Kommunikationsvakuum, das für betroffene Unternehmen gefährlich ist. BleepingComputer konnte keine Stellungnahme von Fortinet erhalten.

Für deutsche Unternehmen lautet die Botschaft deutlich: Alle Systeme mit FortiClient EMS 7.4.4 sollten sofort überprüft und auf die neueste Version aktualisiert werden. Gleichzeitig sollten exponierte Web-Interfaces hinter Firewalls geschützt oder komplett vom Internet genommen werden. Angesichts der dokumentierten aktiven Ausnutzung ist Verzögerung keine Option.

Ähnliche Artikel