Fortinet nennt es zwar nicht Patchday, verteilt aber parallel zu dem Patchday-Datum mehrere Sicherheitsupdates für diverse Produkte. Hochriskante Lücken finden sich etwa in FortiWeb, FortiManager und FortiClientLinux. Angreifer können Befehle einschleusen oder Brute-Force-Angriffe auf Zugänge starten.

Die gravierendste Sicherheitslücke betrifft FortiClientLinux. Aufgrund einer Link-Verfolgungs-Schwachstelle können lokale User ohne weitreichende Rechte ihre Berechtigungen auf root ausweiten (CVE-2026-24018, CVSS 7.4, Risiko „hoch“). Unzureichende Prüfung der Interaktionsfrequenz ermöglicht nicht authentifizierten Angreifern, das Authentifizierungs-Rate-Limit von FortiWeb mit manipulierten Anfragen auszuhebeln (CVE-2026-24017, CVSS 7.3, Risiko „hoch“). Die Versionen FortiWeb 7.0.12, 7.2.12, 7.4.11, 7.6.6 und 8.0.3 oder jeweils jüngere korrigieren den Fehler. Im fgtupdates-Dienst von FortiManager kann beim Verarbeiten von manipulierten Anfragen an den Dienst durch nicht angemeldete Angreifer aus dem Netz ein Stack-basierter Pufferüberlauf auftreten, in dessen Folge sich Befehle einschleusen und ausführen lassen (CVE-2025-54820, CVSS 7.0, Risiko „hoch“). FortiManager 7.2.11 und 7.4.3 sowie neuere bessern die Schwachstelle aus; wer noch auf Stand 6.4 ist, muss auf neuere Fassungen aktualisieren. Sofern der fgtupdates-Dienst aktiviert ist, hilft alternativ auch einfach das Abschalten.

Fortinet listet noch 15 weitere Sicherheitslücken auf:

• MFA Bypass in GUI, FortiAnalyzer (+Cloud), FortiManager (+Cloud) (CVE-2026-22572, CVSS 6.8, Risiko „mittel“)
• OS Command injection in FortiWeb API, FortiWeb (CVE-2025-66178, CVSS 6.7, Risiko „mittel“)
• Format string vulnerability in fazsvcd, FortiAnalyzer (+Cloud), FortiManager (+Cloud) (CVE-2025-68648, CVSS 6.5, Risiko „mittel“)
• Privilege escalation using undocumented CLI command, FortiAnalyzer (+Cloud), FortiManager (+Cloud) (CVE-2025-48418, CVSS 6.4, Risiko „mittel“)
• Lack of TLS Certificate Validation during initial SSO Authentication, FortiAnalyzer, FortiManager (CVE-2025-68482, CVSS 6.3, Risiko „mittel“)
• Arbitrary file deletion in administrative interface, FortiDeceptor (CVE-2026-25689, CVSS 6.0, Risiko „mittel“)
• Stack buffer overflow in API, FortiWeb (CVE-2026-30897, CVSS 5.9, Risiko „mittel“)
• Stack-based Buffer Overflow in API protection, FortiWeb (CVE-2026-24640, CVSS 5.9, Risiko „mittel“)
• SQL injection in jsonrpc api, FortiAnalyzer(+BigData) (CVE-2025-49784, CVSS 5.6, Risiko „mittel“)
• Protected hostname bypass, FortiWeb (CVE-2025-48840, CVSS 5.0, Risiko „mittel“)
• XSS in LDAP server option, FortiSandbox (CVE-2025-53608, CVSS 4.6, Risiko „mittel“)
• Reflected Cross Site Scripting (XSS) in error page, FortiSIEM (CVE-2026-25972, CVSS 4.1, Risiko „mittel“)
• Insecure Exposure of Plaintext Passwords in Debug Logs, FortiMail, FortiRecorder, FortiVoice (CVE-2025-55717, CVSS 3.8, Risiko „niedrig“)
• Authentication Lockout Bypass via Race Condition, FortiAnalyzer (+Cloud), FortiManager (+Cloud) (CVE-2026-22629, CVSS 3.4, Risiko „niedrig“)
• Null Pointer Dereference in Anti-Defacement feature, FortiWeb (CVE-2026-24641, CVSS 2.5, Risiko „niedrig“)

FortiGate-Firewall-Einbrüche führen zu kompromittierten ADs

SentinelOne hat derweil Analyse-Ergebnisse zu FortiGate-Firewall-Einbrüchen veröffentlicht. Die IT-Forscher bemängeln darin zunächst, dass als wiederkehrendes Muster betroffene Organisationen nicht genügend mitprotokollieren, was die Untersuchungen zu Zeitpunkt und genutzter Schwachstellen zum Eindringen verhindert. Der Zeitraum zwischen Einbruch in die Firewall und Kompromittierung weiterer Geräte rangierte zwischen nahezu umgehend und zwei Monaten. Die Analysten erläutern unter anderem, wie Angreifer Gerätekonfigurationen ausforschen und etwa eigene Admin-Konten anlegen, mit denen sie sich persistenten Zugriff sichern. Vor der weiteren Verbreitung im Netz gab es lediglich zwischendurch Logins zum Prüfen, ob der Zugriff noch besteht. SentinelOne sieht darin typisches Verhalten von Initial-Access-Brokern, die geknackte Zugänge an Dritte verkaufen. Diese haben dann Maschinen ins AD verfrachtet und sich darüber weiteren Zugriff auf das Netzwerk verschaffen wollen. Die Scans lösten dann jedoch Sicherheitsalarme aus.

In einem anderen Fall haben die Angreifer ebenfalls einen lokalen Admin auf der geknackten FortiGate-Firewall angelegt und AD-Zugangsdaten daraus ausgelesen. Innerhalb der folgenden zehn Minuten haben die Angreifer sich mit dem AD-Admin-Konto in mehrere Server eingeloggt und Remote-Monitoring-und-Management-Tools (RMM) installiert. Bei Pulseway und MeshAgent handelt es sich den Autoren des Berichts zufolge um legitime Admin-Tools, die jedoch häufig von bösartigen Akteuren eingesetzt werden. Die Angreifer installierten dann Malware, die sie von AWS-Cloudspeicher heruntergeladen hatten. Damit haben sie eine Volumenschattenkopie angelegt und daraus einige Daten an die Server der Angreifer übertragen. Diese Vorfälle zeigen, dass die kompromittierte Firewall tatsächlich für tiefgreifende Unterwanderung missbraucht wird.

Wer Fortinet-Produkte einsetzt, sollte die verfügbaren Aktualisierungen also zügig installieren. Die Schwachstellen in den Netzwerkprodukten stehen bei Cyberkriminellen hoch im Kurs und werden immer wieder rasch nach Bekanntwerden angegriffen.

(dmk)

Im März liefert Adobe am Patchday Sicherheitsupdates für acht Programme. Sie schließen teils von Adobe als kritisch eingestufte Sicherheitslücken. Angreifer können dadurch etwa Schadcode einschmuggeln oder ihre Rechte ausweiten.

Die Patchday-Übersicht von Adobe listet die acht Sicherheitsmitteilungen zu den einzelnen Produkten auf. In Adobe Commerce, Commerce B2B und Magento Open Source schließen die Entwickler 19 Sicherheitslücken. Darunter sind mehrere Cross-Site-Scripting-Schwachstellen, von denen eine die Einstufung nach CVSS als kritisches Risiko nur knapp verpasst und die das Ausweiten der Rechte oder die Umgehung von Sicherheitsmaßnahmen ermöglichen. Insgesamt sechs davon stuft Adobe abweichend als kritische Bedrohung ein.

Ähnlich sieht es beim Illustrator aus. Mehrere Schwachstellen erlauben das Einschleusen und Ausführen von beliebigem Code, fünf der sieben Lücken stuft Adobe als kritisch ein. In Acrobat DC, Acrobat Reader DC und Acrobat 2024 klaffen drei Sicherheitslücken, von denen zwei Codeschmuggel erlauben und als kritisch eingestuft wurden. Wer den Substance 3D Stager einsetzt, sollte die Updates zum Schließen der sechs als kritisch geltenden Sicherheitslücken anwenden, durch die Angreifer Schadcode einschmuggeln können.

Adobe: Weitere Updates schließen Sicherheitslücken

Aber auch im Adobe DNG Software Development Kit (SDK) stopfen Softwareupdates teils kritische Lücken, in Adobe Premiere und Premiere Pro gab es lediglich ein kritisches Leck abzudichten. Neun immer noch als „wichtig“ klassifizierte Sicherheitslücken bessert Adobe in Substance 3D Painter aus. Im Adobe Experience Manager (AEM) schließen die Entwickler im März zudem 33 Cross-Site-Scripting-Sicherheitslecks, die jedoch lediglich einen CVSS-Wert von 5.4 erreichen. Adobe stuft die Lücken abweichend von der „mittleren“ Risikobewertung nach CVSS als „wichtig“ ein.

IT-Verantwortliche und Nutzer sowie Nutzerinnen der Adobe-Software sollten die Aktualisierungen zeitnah anwenden. Im Februar hatte Adobe zum Patchday Sicherheitslücken in neun Programmen geschlossen.

(dmk)

Im März 2026 hat Microsoft Aktualisierungen für 83 neue Schwachstellen am Patchday in petto. Bei zwei der Lücken handelt es sich um Zero-Day-Schwachstellen. Immerhin wurde bislang offenbar noch keine davon in Angriffen im Netz missbraucht.

Microsoft selbst listet alle Schwachstelleneinträge, die das Unternehmen am März-Patchday veröffentlicht hat, in einer Übersicht auf. Davon stufen die Entwickler acht als kritische Bedrohung ein – zum Großteil abweichend von der oftmals deutlich niedrigeren Risikobewertung nach CVSS-Wert.

Microsoft kümmert sich um Zero-Day-Lücken

Informationen zu einer Schwachstelle im SQL-Server, die die Ausweitung der Rechte ermöglicht (CVE-2026-21262, CVSS 8.8, Risiko „hoch“) sowie eine Denial-of-Service-Lücke in .Net (CVE-2026-26127, CVSS 7.5, Risiko „hoch“) sind laut Microsoft bereits öffentlich verfügbar. Sie wurden jedoch noch nicht angegriffen und Microsoft schätzt die Lage so ein, dass deren Missbrauch unwahrscheinlich bleibt.

Als kritisches Risiko stufen die Entwickler aus Redmond Lücken in Microsofts „ACI Confidential Containers“ in Azure ein. Angreifer können dadurch ihre Rechte erhöhen oder unbefugt auf Informationen zugreifen (CVE-2026-23651, CVE-2026-26124, beides CVSS 6.7, Risiko „mittel“, sowie CVE-2026-26122, CVSS 6.5, Risiko „mittel“); Kunden müssen nichts unternehmen, Microsoft hat die Fehler serverseitig korrigiert. Etwas skurril mutet eine Sicherheitslücke in Microsofts Device Pricing Program an, durch die Angreifer Schadcode aus dem Netz einschleusen und hätten ausführen können (CVE-2026-21536, CVSS 9.8, Risiko „kritisch“). Dasselbe gilt für eine Lücke in Microsofts Payment Orchestrator Service (CVE-2026-26125, CVSS 8.6, Risiko „hoch“). Die hat Microsoft ebenfalls serverseitig geschlossen und informiert lediglich der Transparenz halber darüber.

In Microsoft Office erlauben zwei Sicherheitslücken das Einschleusen von Code aus dem Netz, etwa mittels sorgsam präparierter Dokumente. Dazu genügt bereits die Anzeige im Vorschaufenster (CVE-2026-26110, CVE-2026-26113, CVSS 8.4, Risiko „hoch“). In Excel können bösartige Akteure die Sandbox des Copilot-Agent-Modus umgehen und dabei unbefugt Informationen ins Netz ausleiten. Es handelt sich um eine Zero-Click-Lücke (CVE-2026-26144, CVSS 7.5, Risiko „hoch“).

Angreifer können den Windows-Druckerspooler mit manipulierten Netzwerkpaketen zur Ausführung von eingeschmuggeltem Schadcode bewegen. Dazu benötigen sie jedoch zumindest niedrige Berechtigungen auf dem Zielsystem (CVE-2026-23669, CVSS 8.8, Risiko „hoch“). Am Ende listet Microsoft noch zehn Schwachstellen im Chromium-Projekt auf, die mit aktuellen Edge-Updates geschlossen werden. Die hat Google in Chrome bereits in der vergangenen Woche ausgebessert. Die Updates für Windows bringen Secureboot-Zertifikatsaktualisierungen für mehr Geräte und etwa auch für Windows-10-Systeme mit.

Diverse weitere Sicherheitslücken betreffen zahlreiche Produkte und Dienste aus dem Microsoft-Portfolio. IT-Verantwortliche sollten daher die Microsoft-Übersicht durchsehen und in der eigenen Organisation eingesetzte, anfällige Produkte auf den aktuellen Stand bringen.

Im Februar hatte Microsoft am Patchday mehrere Sicherheitslücken schließen müssen, die bereits im Internet attackiert wurden. Sechs der dort geschlossenen Sicherheitslücken haben Kriminelle bereits vor dem Patchday missbraucht.

(dmk)