SchwachstellenHackerangriffeCyberkriminalität

Kritische Fortinet-Lücke wird aktiv ausgenutzt – Tausende Systeme gefährdet

Kritische Fortinet-Lücke wird aktiv ausgenutzt – Tausende Systeme gefährdet
Zusammenfassung

Eine kritische Sicherheitslücke in Fortinet FortiClient EMS wird nun aktiv ausgenutzt. Bei CVE-2026-21643 handelt es sich um eine SQL-Injection-Anfälligkeit, die es Angreifern ermöglicht, ohne Authentifizierung beliebigen Code auszuführen. Das Fortinet-Management-System dient Unternehmen zur zentralisierten Verwaltung von FortiClient-Endpunkten und unterstützt auch Multi-Tenant-Umgebungen. Die Schwachstelle betrifft Version 7.4.4 und wurde im Februar durch Version 7.4.5 behoben, doch über 2.000 verwundbare Instanzen sind im Internet erreichbar. Cyberkriminelle nutzen den öffentlich zugänglichen API-Endpunkt `/api/v1/init_consts` gezielt aus, um sensible Daten wie Admin-Anmeldedaten, Geräte-Inventare und Sicherheitsrichtlinien zu extrahieren. Für Deutschland bedeutet dies ein erhebliches Risiko, da besonders große Unternehmen und Behörden FortiClient EMS einsetzen. Organisationen müssen unverzüglich überprüfen, ob sie Version 7.4.4 nutzen, und ein sofortiges Update auf 7.4.5 durchführen. Da Proof-of-Concept-Code öffentlich verfügbar ist, steigt die Wahrscheinlichkeit weiterer Angriffe rapide. Dies ist einer der wichtigsten IT-Sicherheitsvorfälle der aktuellen Woche.

Die Schwachstelle mit der Bezeichnung CVE-2026-21643 betrifft das Verwaltungssystem FortiClient EMS, das es Unternehmen ermöglicht, Sicherheitsclient-Installationen zentral zu verwalten, zu konfigurieren und zu überwachen. Die Software unterstützt auch Multi-Tenant-Umgebungen, was sie besonders für größere Organisationen und Service-Provider interessant macht.

Das kritische Problem liegt in einer SQL-Injection-Lücke, die über speziell präparierte HTTP-Requests ohne vorherige Authentifizierung ausgelöst werden kann. Bishop Fox, eine renommierte Cybersicherheitsfirma, veröffentlichte detaillierte technische Informationen zur Ausnutzung. Demnach können Angreifer den öffentlich zugänglichen API-Endpunkt “/api/v1/init_consts” missbrauchen, um die Injektion auszulösen – und dies bevor eine Authentifizierung stattfindet.

Besonders kritisch: Der Endpunkt gibt Datenbankfehlermeldungen aus und verfügt über keinen Schutzmechanismus gegen wiederholte Angriffe. Angreifer können daher rapid sensitive Informationen aus verwundbaren Instanzen extrahieren. Dazu gehören Administratorpasswörter, Endpunktbestandteile, Sicherheitsrichtlinien und Zertifikate.

Die Lücke wurde durch eine überarbeitete Middleware und einen neuen Datenbankverbindungsaufbau in Version 7.4.4 eingeführt. HTTP-Identifikationsheader werden dabei an Datenbankabfragen übergeben, ohne diese vorher zu bereinigen – und das vor jeglicher Authentifizierung.

Fortinet patched die Schwachstelle bereits im Februar in Version 7.4.5, nachdem sie intern entdeckt worden war. Doch ein Monat später veröffentlichte Bishop Fox technische Details, die zeigten, dass die Ausnutzung praktikabel ist. Seitdem zirkuliert auch Proof-of-Concept-Code im Internet.

Das Shadowserver Foundation dokumentiert mittlerweile über 2.000 internet-erreichbare Instanzen. Unklar bleibt, wie viele davon tatsächlich auf der verwundbaren Version 7.4.4 laufen. Defused Cyber warnte, dass die aktive Ausnutzung mindestens seit vier Tagen andauert.

Für deutsche Unternehmen ist schnelles Handeln erforderlich: Alle Systeme, die FortiClient EMS in Version 7.4.4 nutzen und internet-erreichbar sind, sollten sofort auf Version 7.4.5 aktualisiert werden. Zudem sollten Logs auf verdächtige Zugriffe auf den /api/v1/init_consts-Endpunkt überprüft werden.

Ähnliche Artikel