FortiClient EMS: Sicherheitslücke wird attackiert

Die Sicherheitsverwaltungssoftware Fortinet FortiClient EMS (Endpoint Management Server) stellt aufgrund einer kritischen Schwachstelle selbst ein Sicherheitsproblem dar. Im Februar dieses Jahres hat Fortinet einen Patch zum Flicken des Lecks bereitgestellt. Jetzt haben IT-Forscher Angriffe im Internet auf die Sicherheitslücke beobachtet.

Auf LinkedIn berichtet Defused, dass bereits vor einigen Tagen erste Angriffsversuche stattgefunden haben. Das ergibt die Auswertung der Honeypot-Daten des Unternehmens. Bei der attackierten Schwachstelle handelt es sich um eine SQL-Injection-Lücke, die Angreifer durch den „Site“-Header einer HTTP-Anfrage missbrauchen können (CVE-2026-21643, CVSS 9.1 [Fortinet] respektive 9.8 [NVD], Risiko „kritisch“). Laut Fortinet-Sicherheitsmitteilung können nicht authentifizierte Angreifer dadurch unbefugt Code oder Befehle mit manipulierten HTTP-Anfragen einschleusen und ausführen.

Fortinet selbst hat zum Meldungszeitpunkt noch keine Aktualisierung der Meldung vorgenommen, die auf aktiven Missbrauch deutet. Defused hat mit der Suchmaschine Shodan knapp 1000 FortiClient-EMS-Instanzen ausgemacht, die frei im Internet stehen und für Angreifer somit erreichbar sind.

FortiClient EMS: Betroffene und fehlerbereinigte Versionen

Im Februar hat Fortinet ausschließlich Version 7.4.4 von FortiClient EMS als von der Schwachstelle betroffen gemeldet. Bei den Versionen 7.2 und 8.0 hätten Admins daher nichts zu befürchten. Die Version 7.4.5 oder neuer schließt das Sicherheitsleck demnach.

Zunächst hatte Fortinet angegeben, dass die Sicherheitslücke auch in FortiEMS Cloud vorhanden sei. Später haben die Entwickler die Version jedoch wieder entfernt, da sie doch nicht betroffen ist.

In Fortinet-Netzwerkprodukten finden sich ständig neue Sicherheitslücken, die die Sicherheit gefährden. Etwa Anfang März hat Fortinet Aktualisierungen zum Schließen von 18 Sicherheitslücken veröffentlicht.

(dmk)