Am 4. April 2026 hat Fortinet außerplanmäßig einen Notfall-Patch für eine kritische Schwachstelle in FortiClient EMS (Enterprise Management Server) veröffentlicht. Die Lücke, CVE-2026-35616, wird bereits aktiv ausgenutzt. Sicherheitsforscher hatten erste Angriffe bereits am 31. März 2026 beobachtet, also mehrere Tage vor der offiziellen Herstellermitteilung.

Was ist passiert?

CVE-2026-35616 ist ein Fehler in der Zugriffskontrolle des FortiClient-EMS-API (CWE-284). Ein nicht authentifizierter Angreifer kann durch manipulierte HTTP-Anfragen die API-Authentifizierung vollständig umgehen und darüber beliebigen Code auf dem EMS-Server ausführen. Für die Ausnutzung werden weder gültige Zugangsdaten noch eine Nutzerinteraktion benötigt.

Die Schwachstelle wurde von Simo Kohonen (Defused Cyber) und Nguyen Duc Anh entdeckt und an Fortinet gemeldet. Defused Cyber hatte zuvor im laufenden Betrieb Angriffe auf die Lücke festgestellt. Das Sicherheitsunternehmen watchTowr registrierte erste Exploit-Versuche auf seinen Honeypots am 31. März 2026, also fünf Tage vor dem öffentlichen Advisory.

Der CVSS-Score beträgt 9.1 (kritisch). Die US-Behörde CISA hat die Schwachstelle am 6. April 2026 in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen und US-Bundesbehörden verpflichtet, den Hotfix bis zum 9. April 2026 einzuspielen.

Warum ist das besonders gefährlich?

FortiClient EMS ist die zentrale Verwaltungsplattform für Endpoint-Security in Unternehmensumgebungen. Über EMS werden Sicherheitsrichtlinien für alle angebundenen Endgeräte verwaltet, VPN-Konfigurationen verteilt und Compliance-Status überwacht. Wer diesen Server kompromittiert, kontrolliert faktisch die gesamte Endpoint-Sicherheitsinfrastruktur eines Unternehmens. Angreifer können darüber Schutzfunktionen auf Endgeräten deaktivieren, Konfigurationen manipulieren oder sich lateral im Netzwerk ausbreiten.

Laut dem Internet-Monitoring-Dienst Shadowserver sind rund 2.000 FortiClient-EMS-Instanzen direkt aus dem Internet erreichbar. Deutschland gehört dabei zu den Ländern mit der höchsten Anzahl exponierter Systeme. Es existiert ein öffentliches Proof-of-Concept auf GitHub, was das Angriffspotenzial weiter erhöht.

Die Schwachstelle ist nicht isoliert. Bereits im Februar 2026 wurde eine andere kritische Lücke in FortiClient EMS (CVE-2026-21643, CVSS 9.8) aktiv ausgenutzt. Fortinet-Produkte stehen aktuell verstärkt im Fokus von Angreifern, die bekannte Schwachstellen schnell nach Veröffentlichung einsetzen.

Betroffene Versionen

Betroffen sind ausschließlich FortiClient EMS 7.4.5 und 7.4.6. FortiClient EMS 7.2 ist nicht betroffen. FortiClient Cloud und FortiSASE wurden serverseitig bereits gepatcht, sodass nur On-Premises-Deployments handeln müssen.