#Netzwerk & Sicherheit · 3 Min. Lesezeit · Tim Rinkel

FORTINET-ALARM! Doppel-Lücke mit CVSS 9.1 zerlegt JETZT FortiAuthenticator UND FortiSandbox

FORTINET-ALARM! Doppel-Lücke mit CVSS 9.1 zerlegt JETZT FortiAuthenticator UND FortiSandbox

SCHOCK bei Fortinet: GLEICH ZWEI KRITISCHE Luecken auf einen Schlag!

Du betreibst FortiAuthenticator oder FortiSandbox? Dann hast du heute ein Wartungsfenster — denn Fortinet hat in der letzten Mai-Woche 2026 zwei Advisories mit CVSS-Score 9.1 veroeffentlicht. Beide erlauben Code-Ausfuehrung. Beide OHNE Login. SOFORT patchen!

UNGLAUBLICH: CVE-2026-44277 reisst DEINEN Single Sign-On auf!

CVE-2026-44277 ist eine Improper Access Control-Luecke in FortiAuthenticator. Unauthentisierte Angreifer koennen ueber speziell praeparierte Requests beliebigen Code ausfuehren. FortiAuthenticator ist meistens der zentrale RADIUS-, LDAP- oder SAML-Knoten — sprich: Wer das knackt, kapert das gesamte SSO.

Betroffen sind Versionen unter 6.5.7, 6.6.9 und 8.0.3. Das Update steht in allen drei Branches bereit.

GEFAHR! CVE-2026-26083 macht DEINE Malware-Sandbox zur HACKER-Sandbox!

Die zweite Bombe heisst CVE-2026-26083 und betrifft FortiSandbox, FortiSandbox Cloud und FortiSandbox PaaS. Das ist eine Missing Authorization-Luecke — ein unauthentisierter Angreifer kann HTTP-Requests schicken und Code auf der Box ausfuehren. Bittere Ironie: Eine Malware-Analyse-Appliance, die selbst zum Hacker-Tool wird.

Patches: FortiSandbox 4.4.9, 5.0.2, FortiSandbox Cloud 5.0.6.

So rettest du DEIN Netz in 15 MINUTEN!

  1. Im FortiAuthenticator-Admin auf System > Maintenance > Firmware und das passende Image fuer 8.0.3, 6.6.9 oder 6.5.7 einspielen.
  2. FortiSandbox parallel ueber das gleiche Menue patchen.
  3. Im FortiGate-Log nach unerwarteten Zugriffen auf die Management-Ports der Sandbox suchen.
  4. Wer eine Cloud-Sandbox bezieht: Status pruefen, Fortinet rollt da automatisch aus.

EXTRA-TIPP: Management-Interfaces gehoeren NIE ins Internet!

Beide Luecken sind besonders gefaehrlich, wenn das Management-Interface aus dem Netz erreichbar ist. Wer FortiAuthenticator als externen Identity Provider laufen laesst, sollte zumindest die Admin-UI hinter einem Source-IP-Filter oder Zero-Trust-Proxy verstecken. Selbst wenn der Patch drin ist.

FAZIT: Patch-Tuesday im Heim-Tempo!

Fortinet liefert zwar Patches schnell, aber die Vorgaenger-Versionen werden in vielen Firmen lange genug gefahren, damit Angreifer Scans starten koennen. Wenn du heute Mittag noch ohne Patch laeufst, bist du ein Ziel. Wartungsfenster anrufen, durchziehen, Hut runter und Kaffee holen.

Häufige Fragen

Welche Versionen sind betroffen?
Bei FortiAuthenticator alle Versionen unter 6.5.7, 6.6.9 und 8.0.3. Bei FortiSandbox die Versionen vor 4.4.9 und 5.0.2 sowie Cloud-Instanzen unter 5.0.6. Die Fortinet-PSIRT-Advisory listet die Branches einzeln auf.
Wie merke ich, ob mein System verwundbar ist?
Im Admin-Backend unter System Information die Firmware-Version pruefen. Wer unter den oben genannten Versionen liegt, ist verwundbar. Fortinet stellt zusaetzlich ein Auswertungs-Skript fuer FortiAuthenticator-Logs bereit, das verdaechtige Requests auf den Admin-Endpoint markiert.
Wie behebe ich das Problem konkret?
Firmware-Update einspielen — entweder ueber die GUI (System > Maintenance > Firmware) oder per CLI. Vorher unbedingt einen HA-Failover oder Snapshot machen, falls etwas beim Upgrade schiefgeht. Nach dem Patch das System neu starten und die Versionsanzeige pruefen.
Gab es schon aktive Angriffe?
Fortinet hat zum Zeitpunkt der Advisory keine konkrete Exploitation-Beobachtung gemeldet. Aber: Fortinet-Geraete sind ein Lieblingsziel staatlicher Akteure. Aehnliche CVEs aus 2024 und 2025 wurden binnen einer Woche nach Disclosure ausgenutzt — entsprechend zuegig patchen.

Quellen

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert