Jetzt updaten! Kritische FortiClient-EMS-Lücke wird attackiert

In FortiClient EMS klafft eine Zero-Day-Lücke, die Angreifer bereits in freier Wildbahn angreifen. Sie können dadurch ohne vorherige Authentifizierung Schadcode einschleusen und ausführen.

Davor warnt der Hersteller Fortinet nun in einer Sicherheitsmitteilung. Demnach hat FortiClient EMS eine Schwachstelle in den Zugriffskontrollen, was Angreifern ohne vorherige Anmeldung ermöglicht, unberechtigt Code oder Befehle mittels manipulierter Anfragen einzuschleusen und auszuführen (CVE-2026-35616, CVSS 9.8, Risiko „kritisch“). Und genau das machen bösartige Akteure bereits im Internet, wie Fortinet den Angaben nach beobachtet hat. Details zu den Angriffen, etwa zu Art und Umfang, nennt Fortinet nicht. Ebenso fehlen Hinweise auf Indizien für erfolgreiche Angriffe (Indicators of Compromise, IOC).

Vorerst Hotfix, reguläres Update in Arbeit

Fortinet rät IT-Verantwortlichen mit verwundbarer FortiClient-EMS-Software dringend, die Hotfixes für FortiClient EMS 7.4.5 und 7.4.6 rasch zu installieren. Dafür stellt der Hersteller zwei Anleitungen bereit: einmal für den Hotfix für FortiClient EMS 7.4.5 und dann für FortiClient EMS 7.4.6.

Fortinet kündigt zudem die Version FortiClient EMS 7.4.7 an, die den Hotfix ebenfalls enthalten soll. Bis dahin genügen Fortinet zufolge die vorgenannten Hotfixes vollkommen, um den Missbrauch der Schwachstelle zu verhindern, wie das Unternehmen versichert. Betroffen ist FortiClient EMS nur in den 7.4er-Versionen, der 7.2er-Entwicklungszweig ist demnach nicht anfällig für die Schwachstelle.

Fortinet hat die Sicherheitsmitteilung offenbar in größter Eile zusammengeschustert. Die Zusammenfassung nennt anders als der CVE-Schwachstelleneintrag lediglich einen CVSS-Wert von 9.1, was jedoch immer noch auf eine kritische Sicherheitslücke verweist. Außerdem steht dort, dass es keinen Exploit für die Lücke gebe – obwohl Fortinet im Fließtext ausdrücklich darauf hinweist.

IT-Verantwortliche müssen daher nun am Osterwochenende trotzdem ran und die Aktualisierungen einspielen. Bei der Gelegenheit sollten sie zudem prüfen, ob ihre Zertifikate von D-Trust zurückgezogen wurden und ebenfalls bis Ostermontag um 17 Uhr ersetzt werden müssen.

(dmk)