Fortinet hat am Wochenende einen Notfall-Patch für eine kritische Sicherheitslücke im FortiClient Enterprise Management Server (EMS) veröffentlicht. Die Schwachstelle CVE-2026-35616 ermöglicht es unauthentifizierten Angreifern, über manipulierte Anfragen beliebigen Code auszuführen. Sie wurde mit einem CVSS-Score von 9.1 bewertet.
Aktive Ausnutzung seit Ende März
Laut Fortinet wird die Lücke bereits aktiv ausgenutzt. Das Security-Unternehmen watchTowr berichtet, dass seine Honeypot-Infrastruktur erste Angriffsversuche bereits am 31. März registriert hat. Ryan Dewhurst, Head of Proactive Threat Intelligence bei watchTowr, beschreibt die anfängliche Ausnutzung als vorsichtiges „Low and Slow"-Vorgehen, das sich dann schnell zu opportunistischen, breit gestreuten Angriffen entwickelte.
CISA reagiert mit Deadline
Die US-Behörde CISA hat die Schwachstelle am Montag in ihren Known Exploited Vulnerabilities (KEV) Catalog aufgenommen und allen Bundesbehörden eine Frist bis Donnerstag gesetzt, um den Patch einzuspielen.
Betroffene Versionen und Patch
- Betroffen: FortiClient EMS 7.4.5 und 7.4.6
- Fix: Hotfix über Fortinets PSIRT-Advisory FG-IR-26-099
VulnCheck-Analystin Caitlin Condon sieht einen kleinen Lichtblick: FortiClient EMS hat eine relativ geringe internetexponierte Angriffsfläche – ihr Team zählte rund 100 öffentlich erreichbare Instanzen.
Zweite kritische FortiClient-Lücke in kurzer Zeit
Es ist bereits die zweite kritische FortiClient-Schwachstelle innerhalb weniger Wochen. Ende März wurde bekannt, dass auch CVE-2026-21643 aktiv ausgenutzt wird, ebenfalls mit der Möglichkeit unauthentifizierter Remote Code Execution.
In der Vergangenheit haben staatlich unterstützte Angreifer aus Russland und China verwundbare FortiClient-EMS-Instanzen ins Visier genommen.
Quellen: The Register, Fortinet PSIRT, CISA KEV Catalog