Die FortiClient EMS Lücke verwandelt ausgerechnet das zentrale Verwaltungswerkzeug für Endpunkt-Sicherheit in ein Einfallstor. Drei Tage bevor Fortinet überhaupt ein Advisory veröffentlichte, registrierten Sicherheitssensoren bereits Angriffe auf die Schwachstelle CVE-2026-35616. Für deutsche Unternehmen ist das besonders unangenehm, denn Deutschland zählt zu den am stärksten exponierten Ländern.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Das Wichtigste in Kürze
- CVE-2026-35616 erlaubt unauthentifizierten Angreifern, über die EMS-API beliebigen Code auszuführen, bewertet mit CVSS 9.1.
- Die Lücke wird seit dem 31. März 2026 aktiv ausgenutzt und steht im Known-Exploited-Vulnerabilities-Katalog der US-Behörde CISA.
- Laut Shadowserver sind weltweit rund 2.000 EMS-Instanzen erreichbar, mit Deutschland und den USA an der Spitze der Sichtbarkeit.
- Fortinet stellt im Advisory FG-IR-26-099 einen Hotfix für 7.4.5 und 7.4.6 bereit, die volle Behebung bringt Version 7.4.7.
Warum wiegt eine Lücke im Management-Server so schwer?
Der Hebel liegt in der Funktion des Servers selbst. FortiClient EMS verwaltet die Endgeräte eines Unternehmens zentral, verteilt Sicherheitsrichtlinien, steuert VPN-Konfigurationen und überwacht die Compliance der angeschlossenen Rechner. Wer diesen Server übernimmt, sitzt an der Schaltstelle des gesamten Endpunkt-Schutzes.
Die Angriffstechnik macht es Tätern leicht. Die Schwachstelle ist ein Fehler in der Zugriffskontrolle der EMS-API. Über präparierte Anfragen lässt sich die Authentifizierung umgehen und Code auf dem Server ausführen, ganz ohne Login und ohne Zutun eines Nutzers. Sicherheitsforscher von watchTowr beobachteten erste Angriffe auf Honeypots am 31. März, vier Tage bevor Fortinet das Advisory am 4. April publizierte.
Was machen die Angreifer mit dem Zugriff?
Die aktuelle Welle nutzt den gekaperten Server als Verteilstation für Schadsoftware. Beobachtet wurde eine als regulares „Fortinet endpoint update“ getarnte Nutzlast, die tatsächlich den Credential-Stealer EKZ ausliefert. Die Malware zielt auf Browser-Zugangsdaten, legt die Beute in Logdateien ab und schickt sie per HTTP nach außen.
Der Mechanismus ist das eigentlich Brisante. Die Täter missbrauchen die legitimen Verwaltungsfunktionen des EMS, um PowerShell-Befehle an die verbundenen Endpunkte zu schicken. Aus einer einzelnen kompromittierten Verwaltungskonsole wird so eine Angriffsplattform, die sich über das ganze Netz skaliert. Wie schnell sich das Fenster zwischen Bekanntwerden und Massenausnutzung schließt, zeigt auch der BSI-Cybersicherheitsmonitor 2026.
Wer seinen Perimeter ins Internet hängt und dann auf das nächste Wartungsfenster wartet, plant gegen die Realität. Die Angreifer waren schon drin, bevor das Advisory online ging.
— Markus Seyfferth, Chefredakteur Dr. Web
Was sollten deutsche IT-Teams jetzt tun?
Spielen Sie den Hotfix für FortiClient EMS 7.4.5 und 7.4.6 umgehend ein oder steigen Sie auf 7.4.7 um. Die Details und Indicators of Compromise liefert das Fortinet-PSIRT-Advisory FG-IR-26-099. US-Behörden haben eine Sieben-Tage-Frist erhalten; deutsche IT-Teams ohne vergleichbare Vorgaben sollten sich eine ähnlich knappe Frist selbst setzen.
Patchen allein genügt nicht, falls der Server bereits exponiert war. Durchsuchen Sie das EMS-Webserver-Log nach ungewöhnlichen POST-Anfragen und kontrollieren Sie den Host auf neue lokale Administrator-Konten oder unbekannte geplante Aufgaben. Falls der EMS nicht aus dem Internet erreichbar sein muss, senkt eine strikte Netzsegmentierung das Risiko erheblich. Für die strukturelle Einordnung lohnt der Blick in unsere Cybersecurity-Grundlagen für KMU, weil NIS-2 die Verantwortung für solche Vorfälle inzwischen bis in die Geschäftsführung trägt.
Mehr Newshunger?
