CVE-2026-35616 Fortinet FortiClient EMS
|

CVE-2026-35616: Kritische RCE-Lücke in Fortinet FortiClient EMS – Sofort patchen!

VonContentKalle

CVE-2026-35616 Fortinet – Eine kritische Sicherheitslücke erschüttert die Welt der Netzwerksicherheit: Fortinets FortiClient Enterprise Management Server (EMS) ist von einer schwerwiegenden Schwachstelle betroffen, die ungepatchten Systemen die Tür für unauthentifizierte Remote Code Execution (RCE) öffnet. Mit einem CVSS-Score von 9.1 und aktiver Ausnutzung in freier Wildbahn ist sofortiges Handeln gefragt.

Was ist FortiClient EMS?

Fortinet FortiClient EMS (Enterprise Management Server) ist eine zentrale Verwaltungsplattform für FortiClient-Endpoint-Lösungen. IT-Admins nutzen sie, um Endpoint-Sicherheitsrichtlinien zu verwalten, VPN-Konfigurationen auszurollen und den Sicherheitsstatus von Endgeräten zu überwachen. Besonders in KMUs und mittelgroßen Unternehmen ist sie weit verbreitet – und genau das macht diese Schwachstelle so gefährlich.

Typischerweise verwaltet ein einzelner EMS-Server hunderte bis tausende von Endpoints gleichzeitig. Das macht ihn zu einem zentralen Single Point of Failure für die gesamte Endpoint-Sicherheit: Wer den EMS-Server kompromittiert, kann potenziell auf alle angebundenen Geräte zugreifen, Sicherheitsrichtlinien manipulieren und VPN-Zugänge für eigene Zwecke missbrauchen.

Was steckt hinter CVE-2026-35616?

Bei CVE-2026-35616 handelt es sich um eine Improper Access Control-Schwachstelle (CWE-284) in der API von FortiClient EMS. Ein Angreifer kann speziell präparierte HTTP-Anfragen senden, um die Authentifizierungs- und Autorisierungsprüfungen vollständig zu umgehen – ohne gültige Zugangsdaten, ohne Benutzerinteraktion.

Das Ergebnis: Vollständige Remote Code Execution auf dem betroffenen Server. Der Angreifer bekommt damit faktisch administrative Kontrolle über das System – und damit potenziellen Zugang zu allen verwalteten Endpoints im Netzwerk.

Betroffene Versionen

  • FortiClient EMS 7.4.5
  • FortiClient EMS 7.4.6

Alle anderen Versionen außerhalb dieses Bereichs sind nach aktuellem Kenntnisstand nicht betroffen.

Aktive Ausnutzung – Zeitstrahl der Ereignisse

Die Entdeckungs- und Reaktionskette verlief rasend schnell:

  • 31. März 2026: watchTowr-Sensoren registrieren erste aktive Ausnutzung dieser Zero-Day-Schwachstelle – noch vor der offiziellen Veröffentlichung.
  • 4. April 2026: Fortinet veröffentlicht offiziell den Security Advisory (FG-IR-26-099) und stellt einen Notfall-Hotfix bereit.
  • 6. April 2026: CISA nimmt CVE-2026-35616 in den Known Exploited Vulnerabilities (KEV) Katalog auf.
  • 9. April 2026: Pflicht-Patchdeadline für alle US-Bundesbehörden (FCEB).

Laut Shadowserver-Dashboard sind derzeit über 2.000 FortiClient EMS-Instanzen öffentlich über das Internet erreichbar – ein gefundenes Fressen für Angreifer.

Warum sind so viele Systeme exponiert?

Die Zahl von über 2.000 direkt erreichbaren EMS-Instanzen mag überraschen – ist aber für Sicherheitsforscher leider wenig überraschend. Typische Gründe für die Exposition:

  • Remote-Access-Szenarien: Viele Unternehmen ermöglichen ihren IT-Admins Fernzugriff auf das Admin-Panel des EMS-Servers von zuhause oder unterwegs – ohne vorgelagerten VPN-Schutz.
  • Fehlkonfiguration bei der Ersteinrichtung: Standard-Installationsanleitungen führen oft dazu, dass der Management-Port direkt geöffnet wird, ohne explizite Hinweise auf Absicherung.
  • Vernachlässigung von Management-Planes: Während Produktiv-Server gut gesichert sind, werden Management-Systeme häufig als weniger kritisch eingestuft – ein fataler Irrtum.
  • Fehlende Netzwerksegmentierung: In vielen KMUs existiert kein dediziertes Management-Netzwerk, sodass der EMS-Server direkt aus dem Internet erreichbar ist.

Was genau ist die technische Ursache?

Die Schwachstelle liegt in der API-Schicht von FortiClient EMS. Durch einen Fehler bei der Zugriffskontrolle können Angreifer API-Endpunkte aufrufen, die eigentlich eine gültige Authentifizierung erfordern. Dies ermöglicht es, beliebige Befehle auf dem Server auszuführen – ein klassischer Pre-Authentication RCE.

Das Gefährliche daran: Es ist kein Benutzer-Konto, keine gestohlene Credential und keine Interaktion eines Opfers notwendig. Wer den EMS-Server im Internet erreichbar hat, ist direkt gefährdet.

So überprüfst du deine FortiClient EMS-Version

Bevor du mit dem Patchen anfängst, prüfe zunächst, welche Version bei dir installiert ist:

Über das Admin-Panel

  1. Melde dich am FortiClient EMS Admin-Panel an (Standard: https://<EMS-IP>:8013).
  2. Navigiere zu System → Dashboard.
  3. Die installierte Version findest du unter System Information → FortiClient EMS Version.

Per Windows-Kommandozeile (als Administrator)

wmic product where "Name like 'FortiClient EMS%'" get Name, Version

Zeigt die Ausgabe Version 7.4.5 oder 7.4.6, bist du betroffen und musst sofort den Hotfix installieren.

So schützt du dich jetzt

1. Sofort patchen – Hotfix installieren

Fortinet hat einen Notfall-Hotfix für FortiClient EMS 7.4.5 und 7.4.6 veröffentlicht. Die gute Nachricht: Die Installation erfordert keine Systemausfallzeit. Die vollständige Behebung wird zusätzlich in Version 7.4.7 enthalten sein.

Empfohlene Schritte:

  1. Prüfe deine FortiClient EMS-Version (Admin-Panel → System → Dashboard).
  2. Lade den Hotfix über das Fortinet Support Portal herunter (Advisory: FG-IR-26-099).
  3. Installiere den Hotfix gemäß Fortinet-Dokumentation.
  4. Überprüfe nach der Installation die Logs auf verdächtige Aktivitäten.

2. Netzwerkzugang sofort einschränken

Sollte ein sofortiges Patchen nicht möglich sein, schränke den Zugang zum EMS-Server sofort ein:

  • Den Management-Port niemals direkt über das Internet exponieren.
  • Zugang auf vertrauenswürdige IP-Adressen über Firewall-Regeln beschränken.
  • VPN als vorgelagerten Zugriffsschutz einsetzen.

3. Kompromittierung prüfen

Wer FortiClient EMS 7.4.5 oder 7.4.6 in den letzten Wochen ungeschützt betrieben hat, sollte dringend auf Indicators of Compromise (IoCs) prüfen:

  • Unbekannte Prozesse auf dem EMS-Server
  • Auffällige API-Requests ohne gültige Session-Tokens in den Logs
  • Neue oder veränderte Admin-Accounts
  • Ungewöhnlicher ausgehender Netzwerkverkehr (Command & Control)

Ähnliche Schwachstellen bei Fortinet – ein Muster

CVE-2026-35616 ist kein Einzelfall – Fortinet-Produkte waren in den letzten Jahren mehrfach Ziel kritischer Schwachstellen, die jeweils aktiv ausgenutzt wurden:

  • CVE-2023-27997 (FortiOS SSL-VPN): Ein kritischer Heap-Overflow im SSL-VPN-Portal ermöglichte Pre-Authentication RCE. CVSS 9.8 – betraf Millionen von Geräten weltweit und wurde für gezielte Angriffe auf Regierungsnetzwerke genutzt.
  • CVE-2024-21762 (FortiOS RCE): Eine Out-of-Bounds-Write-Schwachstelle in FortiOS erlaubte ebenfalls unauthentifizierten Remote Code Execution. Auch diese Lücke wurde von CISA in den KEV-Katalog aufgenommen.

Das Muster ist eindeutig: Fortinet-Produkte sind attraktive Ziele für staatliche Akteure und Ransomware-Gruppen, weil sie tief im Netzwerk verankert sind und privilegierten Zugang gewähren. Für IT-Admins bedeutet das: Fortinet-Systeme müssen mit höchster Patch-Priorität behandelt werden – insbesondere wenn sie extern erreichbar sind. Ein strukturiertes Vulnerability-Management-Programm, das Fortinet-Advisories aktiv monitort, ist keine Option mehr, sondern Pflicht.

Fazit: Kein Aufschub möglich

CVE-2026-35616 ist ein Paradebeispiel für die Dringlichkeit konsequenten Patch-Managements. Eine ungepatchte FortiClient EMS-Instanz kann Angreifern den Weg ins gesamte Netzwerk öffnen – über die verwalteten Endpoints hinweg. Der Hotfix ist verfügbar, die Installation ist schnell und ohne Ausfallzeit möglich.

Jetzt handeln, nicht warten.

Bleib informiert: Abonniere den Lapalutschi.de Newsletter, um keine Sicherheitswarnungen zu verpassen. Weitere Infos findest du im offiziellen Fortinet Advisory FG-IR-26-099 und im CISA KEV-Katalog.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert