3. Mai 2026 | Artikel drucken |

Fortinet Lücken fordern IT-Teams mit Tempo heraus

Cybersecurity-Monitor mit Code-Stream. Die Fortinet-Lücken in FortiClient EMS treffen DACH-IT-Teams in einer Phase, in der die Patch-Frequenz ohnehin am Limit ist. (Foto: T. Miroshnichenko / Pexels)

7 Min. Lesezeit

Fortinet hat in einem Zeitraum von drei Wochen zwei kritische Schwachstellen in FortiClient EMS gepatcht. CVE-2026-35616 mit CVSS-Score 9.1 ermöglicht Pre-Authenticated Remote Code Execution – Honeypot-Daten von Shadowserver zeigen aktive Exploit-Versuche seit dem 31. März 2026. Das Muster zeigt: FortiClient EMS ist strukturell exponiert und die Patch-Kadenz reicht als einzige Maßnahme nicht mehr aus.

Das Wichtigste in Kürze

  • Zwei kritische Patches in drei Wochen. CVE-2026-35616 (CVSS 9.1, Pre-Auth RCE) und ein nachfolgendes Advisory zu einem Privilege-Escalation-Vektor in FortiClient EMS – das ist keine Einzelveranstaltung, sondern ein Muster.
  • CISA KEV-Aufnahme am 2. April 2026. Bundesbehörden in den USA haben 7 Tage Patch-Frist. DACH-IT-Teams ohne ähnliche Governance müssen selbst eine Frist setzen.
  • Exploit-Muster seit 31. März aktiv. Shadowserver und GreyNoise registrieren Probe-Traffic gegen exponierte FortiClient-EMS-Installationen. Wer EMS ohne Network-Segmentierung betreibt, ist direkt exponiert.
  • Patch allein reicht nicht. JDBC-Injection als Angriffsvektor in FortiClient EMS bedeutet: unauthentica Nutzer können SQL-Queries ausführen. Netzwerk-Zugriffskontrolle auf den EMS-Port ist kritische Sofortmaßnahme.

Verwandt: Source-Code-Breaches: Wenn Angreifer den Security-Vendor vor dem Patch kennen

Was ist FortiClient EMS? FortiClient EMS (Endpoint Management Server) ist Fortinets zentrale Verwaltungsplattform für den FortiClient-Agent auf Endpunkten. EMS steuert Compliance-Policies, VPN-Konfigurationen und Security-Posture-Assessment für alle verwalteten Endpoints im Netzwerk – und ist damit ein hochprivilegiertes Ziel für Angreifer.

VerwandtSource-Code-Breaches: Wenn der Security-Vendor vor dem Patch kompromittiert ist  /  CVE-2026-3854: GitHub-Enterprise-RCE – 88% ungepatcht

Was CVE-2026-35616 von früheren FortiClient-Lücken unterscheidet

FortiClient EMS hat eine dokumentierte Schwachstellen-Historie. CVE-2023-48788 war eine SQL-Injection-Lücke mit CVSS 9.8, die 2024 massenhaft ausgenutzt wurde und in die CISA KEV-Liste aufgenommen wurde. Das Muster wiederholt sich: JDBC-basierte Injection, Pre-Auth-Zugriff, kritischer CVSS-Score.

CVE-2026-35616 trifft denselben Angriffsvektor wie der Vorgänger – den JDBC-Datenbankzugriff ohne vorherige Authentifizierung. Laut Fortinets Advisory vom 29. März 2026 kann ein nicht-authentifizierter Angreifer über manipulierte HTTP-Requests SQL-Code auf der EMS-Datenbank ausführen. Die direkte Folge: Systemzugriff auf den EMS-Server mit Datenbankrechten.

Was diesen Vorfall vom 2023er-Vorgänger unterscheidet: Die Zeit von Patch-Release bis zur Honeypot-Aktivität war diesmal kürzer. Shadowserver registrierte erste Exploit-Versuche gegen CVE-2026-35616 am 31. März 2026 – zwei Tage nach dem Advisory. Bei CVE-2023-48788 dauerte es rund zwei Wochen bis zur ersten Massenausnutzung.

Zahlen zur Gefährdungslage

CVSS 9.1

Critical-Score für CVE-2026-35616, Pre-Auth RCE via JDBC-Injection

2 Tage

von Advisory bis zu ersten Honeypot-Exploit-Versuchen (Shadowserver)

7 Tage

Patch-Pflicht für US-Bundesbehörden nach CISA KEV-Aufnahme am 2. April 2026

Warum FortiClient EMS strukturell exponiert ist

FortiClient EMS ist konzeptionell ein Hochprivileg-System. Es kennt alle verwalteten Endpoints, ihre Compliance-Status, VPN-Verbindungen und Security-Richtlinien. Wenn ein Angreifer EMS kompromittiert, hat er nicht nur einen Server – er hat eine Landkarte des gesamten Endpoint-Inventars und Hebel zur Manipulation von Security-Policies.

Das eigentliche Problem ist die Deployment-Praxis: Viele DACH-Unternehmen betreiben FortiClient EMS ohne strenge Netzwerksegmentierung – mit direktem Zugriff aus dem internen Netzwerk oder, schlimmer, aus DMZ-Segmenten. Dabei ist EMS ein Verwaltungssystem, das niemals direkt aus dem Benutzer-LAN erreichbar sein sollte.

„Jede zweite FortiClient-EMS-Deployment, die wir im Rahmen von Penetrationstests sehen, hat den Management-Port aus dem internen Netz direkt erreichbar. Das ist ein Design-Fehler, kein Konfigurationsfehler.“

– Alec Chizhik, securitytoday.de

Die Patch- und Härtungs-Checkliste für DACH-Teams

Patchstatus zuerst – aber Patchen allein löst das strukturelle Problem nicht. Eine kombinierte Maßnahmen-Liste:

  1. Sofortmaßnahme: EMS-Version prüfen. Betroffen sind FortiClient EMS Versionen 7.4.0 bis 7.4.1 und 7.2.0 bis 7.2.7. Fix ist in 7.4.2 und 7.2.8 enthalten. Versions-Check: diagnose sys version in der EMS-CLI.
  2. Netzwerkzugriff einschränken. EMS-Port 443 sollte ausschließlich aus einem dedizierten Management-Segment erreichbar sein – nicht aus dem allgemeinen Benutzer-LAN. Firewall-Regel prüfen und ggf. anpassen.
  3. Expositionscheck: Ist EMS aus dem Internet erreichbar? Shodan oder FOFA nach der eigenen externen IP abfragen. Öffentlich erreichbare EMS-Instanzen sind eine Sofortpriorität.
  4. Log-Review auf Exploit-Versuche. Fortinets IOC-Liste für CVE-2026-35616 enthält spezifische HTTP-Request-Muster. SIEM-Suche nach diesen Patterns in den letzten 30 Tagen.
  5. Zwei-Patch-Kadenz einplanen. Fortinet hat in drei Wochen zwei Critical-Advisories released. Wer EMS betreibt, sollte einen dedizierten Patch-Track mit max. 72h-Reaktionszeit für Fortinet-Criticals definieren.

Nach Patchen erledigt

  • RCE-Vektor CVE-2026-35616 geschlossen
  • Privilege-Escalation-Patch (Advisory 2) eingespielt
  • Fortinet-Support-Status für Version bestätigt
  • Patch-Dokumentation für Audit-Trail erstellt

Strukturell noch offen

  • Netzwerksegmentierung EMS-Port noch nicht umgesetzt?
  • Log-Review auf Exploit-Versuche vor Patch-Datum
  • Incident-Response-Plan für kompromittierte EMS-Instanz fehlt
  • Keine dedizierte Patch-SLA für Fortinet-Criticals definiert

Was das Muster für DACH-IT-Teams bedeutet

Fortinet ist kein Einzelfall. Check Point, Palo Alto, Ivanti, SonicWall – alle größeren Security-Vendoren haben in den letzten 18 Monaten kritische Schwachstellen in ihren Managementplattformen veröffentlicht, die aktiv ausgenutzt wurden. Das Muster ist konsistent: Managementsoftware als Angriffsziel.

Die strategische Konsequenz: Security-Managementsoftware muss mit denselben Härtungsstandards behandelt werden wie privilegierte Active-Directory-Komponenten. Das bedeutet: Management-Ports nicht aus dem Benutzer-LAN erreichbar, dedizierter Patch-Track, tägliche Log-Überwachung auf Anomalien.

Wer diese Grundprinzipien noch nicht für alle seine Security-Management-Plattformen umgesetzt hat, sollte die aktuelle Fortinet-CVE-Welle als Trigger für ein Management-Surface-Hardening-Projekt nutzen – nicht als einmaliges Patch-Event.

Quellen: Fortinet PSIRT Advisory CVE-2026-35616 (29. März 2026) | CISA KEV (2. April 2026) | Shadowserver Foundation Exploit-Telemetrie

Häufige Fragen

Welche FortiClient-EMS-Versionen sind von CVE-2026-35616 betroffen?

Betroffen sind FortiClient EMS 7.4.0 bis 7.4.1 und 7.2.0 bis 7.2.7. Die gepatchten Versionen sind 7.4.2 (behebt 7.4.x-Branch) und 7.2.8 (behebt 7.2.x-Branch). Ältere Versionen sollten gemäß Fortinets Upgrade-Path-Doku zuerst auf den aktuellen Minor-Branch gebracht werden.

Wie erkenne ich ob meine EMS-Instanz bereits kompromittiert wurde?

Fortinets PSIRT-Advisory enthält spezifische Indicators of Compromise (IOC). Suche im EMS-Webserver-Log nach ungewöhnlichen HTTP-POST-Requests auf Datenbankzugriffspfade. Zusätzlich: neue lokale Administrator-Accounts oder unbekannte Scheduled-Tasks auf dem EMS-Host sind Hinweis auf Post-Exploitation-Aktivität.

Muss ich EMS abschalten bis der Patch eingespielt ist?

Wenn EMS nicht aus dem Internet erreichbar ist und der Zugriff auf ein dediziertes Management-Segment beschränkt ist, ist ein temporäres Abschalten nicht zwingend – die Netzwerkisolierung reduziert das Risiko erheblich. Bei EMS mit Internetzugriff: Firewall-Block sofort einrichten und Patch so schnell wie möglich einspielen.

Gilt die CISA-Patch-Frist auch für europäische Unternehmen?

Nein, die CISA KEV-Patch-Frist von 7 Tagen gilt nur für US-Bundesbehörden. Sie ist aber ein nützlicher Benchmark: Wenn US-Bundesbehörden 7 Tage als vertretbar betrachten, sollte das für DACH-Unternehmen mit ähnlichem Compliance-Niveau ein Maximum sein, kein Richtwert.

Was ist wenn wir FortiClient EMS als Cloud-Service beziehen?

Fortinets Cloud-Managed-Variante (FortiCloud EMS) wird von Fortinet gepatcht. Prüfen ob die Instanz tatsächlich cloud-managed ist – viele Unternehmen betreiben „Cloud“ in Wirklichkeit als self-managed VM in der eigenen Cloud-Umgebung. In diesem Fall gelten alle selbst-verwalteten Patch-Pflichten.

Netzwerk

Alec Chizhik schreibt für SecurityToday über Schwachstellenanalysen, Exploit-Telemetrie und operative Security-Entscheidungen für DACH-IT-Teams

Quelle Titelbild: Pexels / Tima Miroshnichenko

Artikel drucken
Alec Chizhik

Hier schreibt Alec Chizhik für Sie

Mehr Artikel vom Autor

Auch verfügbar in

FrançaisEspañolEnglish
Ein Magazin der Evernine Media GmbH