Zwei kritische Zero-Days in FortiClient EMS innerhalb von 60 Tagen haben Sicherheitsteams weltweit in Alarmbereitschaft versetzt. CVE-2026-21643 (CVSS 9,8) und CVE-2026-35616 (CVSS 9,1 bis 9,8) ermöglichen es Angreifern, ohne gültige Anmeldedaten beliebigen Code auf dem Endpoint-Management-Server auszuführen. Beide Schwachstellen wurden aktiv in der freien Wildbahn ausgenutzt, bevor vollständige Patches verfügbar waren. Die US-Behörde CISA nahm CVE-2026-35616 bereits zwei Tage nach Veröffentlichung des Fortinet-Advisorys in den Known-Exploited-Vulnerabilities-Katalog auf, mit einer Pflicht-Patch-Deadline von nur fünf Tagen für US-Bundesbehörden.
Das Doppel-Zero-Day: CVE-2026-21643 und CVE-2026-35616 im Überblick
FortiClient EMS ist das zentrale Verwaltungssystem für Fortinets Endpoint-Security-Lösungen. Der Server koordiniert die Bereitstellung, Konfiguration und Überwachung von FortiClient-Installationen auf Tausenden von Endgeräten in Unternehmen jeder Größe. Genau diese zentrale Rolle macht ihn zu einem äußerst attraktiven Angriffsziel: Wer den EMS kompromittiert, kontrolliert potenziell alle verwalteten Endpunkte im Netzwerk.
Am 6. Februar 2026 veröffentlichte Fortinet ein Advisory für CVE-2026-21643, eine kritische SQL-Injection-Schwachstelle in FortiClient EMS 7.4.4 mit einem CVSS-Score von 9,8. Ein nicht authentifizierter Angreifer kann speziell gestaltete HTTP-Anfragen senden, die fehlerhafte SQL-Befehle auslösen und zur Ausführung von Schadcode auf dem Server führen. Der Fehler liegt in der mangelhaften Bereinigung von Sonderzeichen in SQL-Abfragen (CWE-89). Nur Version 7.4.4 ist betroffen; FortiClient EMS 7.2 und 8.0 sind nicht verwundbar. Die Lösung: Upgrade auf Version 7.4.5 oder höher.
Nur acht Wochen später, am 4. April 2026, folgte das nächste Desaster. Fortinet gab CVE-2026-35616 bekannt, eine Schwachstelle durch fehlerhafte Zugriffskontrolle (CWE-284) in der FortiClient-EMS-API. Fortinet bewertete den Fehler mit CVSS 9,1, die National Vulnerability Database (NVD) der USA vergab sogar 9,8. Betroffen sind die Versionen 7.4.5 und 7.4.6, also genau die Versionen, auf die Administratoren nach CVE-2026-21643 gewechselt hatten. Ein Angreifer kann ohne jede Authentifizierung Anfragen an die API senden und damit Codeausführung auf dem EMS-Server erlangen.
Das Besondere an CVE-2026-35616: Fortinet selbst bestätigte, die Schwachstelle bereits aktiv in der freien Wildbahn ausgenutzt zu sehen, als das Advisory erschien. Die Sicherheitsfirma watchTowr hatte die Exploitation bereits am 31. März 2026, also vier Tage vor dem offiziellen Fortinet-Advisory, in ihrer Telemetrie identifiziert. Dies ist die zweite Schwachstelle für nicht authentifizierte Remote-Code-Ausführung im selben Produkt in weniger als zwei Monaten.
Technische Analyse: Wie die Angriffe funktionieren
CVE-2026-21643 nutzt eine klassische SQL-Injection-Schwachstelle, die besonders gefährlich ist, weil sie keine Authentifizierung erfordert. Der Angreifer sendet HTTP-Anfragen mit manipulierten Parametern, die SQL-Sonderzeichen enthalten. FortiClient EMS interpretiert diese Zeichen als Teil des SQL-Befehls, anstatt sie als reine Dateneingabe zu behandeln. Damit lassen sich Datenbankabfragen verändern, Daten exfiltrieren oder Betriebssystembefehle ausführen, wenn die Datenbank mit ausreichenden Rechten läuft.
CVE-2026-35616 ist technisch anders aufgebaut, das Ergebnis jedoch identisch. Die FortiClient-EMS-API setzt keine korrekte Autorisierungsprüfung durch. Ein Angreifer kann Anfragen so gestalten, dass sie die Authentifizierungs- und Autorisierungsebene vollständig umgehen (CWE-284), was nicht autorisierte Codeausführung auf dem Server ermöglicht. Fortinet hat bestätigt, dass FortiClient EMS Cloud und FortiSASE intern gepatcht wurden; nur on-premises Kunden müssen manuell handeln.
Die Angriffskette ist in beiden Fällen einfach: Angreifer scannen das Internet nach exponierten FortiClient-EMS-Instanzen, senden eine speziell gestaltete Anfrage und erlangen damit Shell-Zugriff auf den Server. Vom EMS aus können sie Konfigurationen für alle verwalteten FortiClient-Endpoints ändern, Malware verteilen oder Zugangsdaten abgreifen. Sicherheitsforscher von Horizon3.ai bezeichneten CVE-2026-35616 als einfach zu entwickeln und zuverlässig einsetzbar. runZero und Kudelski Security bestätigten unabhängig voneinander, dass ein funktionsfähiger Exploit auch von Angreifern mit moderaten technischen Kenntnissen entwickelt werden kann.
Vergleich der beiden FortiClient-EMS-Schwachstellen 2026
| Merkmal | CVE-2026-21643 | CVE-2026-35616 |
|---|---|---|
| Schwachstellentyp | SQL-Injection (CWE-89) | Fehlerhafte Zugriffskontrolle (CWE-284) |
| CVSS-Score | 9,8 (kritisch) | 9,1 (Fortinet) / 9,8 (NVD) |
| Authentifizierung nötig | Nein | Nein |
| Betroffene Versionen | FortiClient EMS 7.4.4 | FortiClient EMS 7.4.5 und 7.4.6 |
| Advisory-Datum | 6. Februar 2026 | 4. April 2026 |
| Aktiv ausgenutzt | Ja | Ja (ab 31. März 2026) |
| CISA KEV | Nicht bestätigt | 6. April 2026 |
| FCEB-Patch-Deadline | Nicht zutreffend | 9. April 2026 |
| Permanenter Fix | Upgrade auf 7.4.5+ | Upgrade auf 7.4.7 |
| Interim-Hotfix | Nicht zutreffend | 7.4.5.2111 / 7.4.6.2170 |
Was ist FortiClient EMS und warum ist es ein Angriffsziel?
FortiClient EMS (Endpoint Management Server) ist der zentrale Verwaltungsknoten von Fortinets Endpoint-Security-Ökosystem. Der Server koordiniert die Bereitstellung, Konfiguration und Überwachung von FortiClient-Installationen auf Windows-, macOS- und Linux-Endpunkten in Unternehmen jeder Größe. FortiClient selbst liefert Funktionen wie Malware-Schutz, Webfilterung, Schwachstellenscanning, VPN-Client und Zero-Trust-Network-Access-Enforcement (ZTNA). Für Unternehmen, die auf Fortinets Security Fabric setzen, ist der EMS-Server das Nervenzentrum der gesamten Endpoint-Sicherheitsstrategie.
Fortinet zählt zu den größten Anbietern von Netzwerksicherheitshardware weltweit. Im globalen Markt für Enterprise-Firewalls hält das Unternehmen nach IDC-Daten einen Anteil von rund 20 Prozent. Im deutschsprachigen Raum sind FortiGate-Firewalls und FortiClient-Deployments vor allem in mittelständischen und großen Unternehmen weit verbreitet. Kundendaten zeigen, dass FortiClient-EMS-Kunden hauptsächlich in den USA (42,6 Prozent) und Europa konzentriert sind, wobei Deutschland zu den wichtigsten europäischen Märkten gehört.
Die strategische Bedeutung von FortiClient EMS als Angriffsziel liegt auf der Hand. Ein kompromittierter EMS-Server gibt Angreifern Zugriff auf alle verwalteten Endpoints im Unternehmensnetzwerk. Sie können Konfigurationsänderungen durchsetzen, VPN-Zugangsdaten der Mitarbeiter abgreifen, ZTNA-Richtlinien deaktivieren oder Malware über den zentralen Update-Mechanismus an alle Endpunkte verteilen. Der EMS ist damit ein klassischer Multiplikator-Angriffsvektor innerhalb des internen Netzwerks, der es Angreifern ermöglicht, mit einem einzigen Angriff Tausende von Endpunkten zu kompromittieren.
watchTowr: Exploitation vier Tage vor dem offiziellen Advisory
Ein besonders alarmierender Aspekt der CVE-2026-35616-Saga ist die Zeitlinie. Das britische Sicherheitsforschungsunternehmen watchTowr betreibt ein weltweites Netzwerk von sogenannten Attacker-Eye-Sensoren, die aktive Exploitation-Versuche im Internet überwachen. Am 31. März 2026 registrierte watchTowr erstmals Angriffe auf FortiClient-EMS-Instanzen mit einer noch nicht öffentlich bekannten Schwachstelle.
Fortinet veröffentlichte das Advisory für CVE-2026-35616 erst am 4. April 2026, vier Tage nach der Entdeckung durch watchTowr. Zum Zeitpunkt der Veröffentlichung bestätigte Fortinet selbst, die Schwachstelle bereits in der freien Wildbahn ausgenutzt zu sehen. Das bedeutet: Es gab ein Fenster von mindestens vier Tagen, in dem Angreifer eine kritische Zero-Day-Schwachstelle in FortiClient EMS aktiv ausnutzen konnten, ohne dass betroffene Unternehmen davon wussten.
Das watchTowr-Team hielt in seiner technischen Analyse fest: “Das ist auch die zweite Schwachstelle für nicht authentifizierte Remote-Code-Ausführung in FortiClient EMS, die innerhalb weniger Wochen bekannt wurde. CVE-2026-21643, eine separate kritische Schwachstelle im selben Produkt, wurde kurz vor diesem Advisory aktiv ausgenutzt. Wenden Sie den Hotfix sofort an.” Diese Einschätzung deckt sich mit dem Muster, das sich bei anderen Fortinet-Produkten in den vergangenen Jahren gezeigt hat.
CISA-Warnung: Fünf Tage von Advisory bis Pflicht-Patch-Deadline
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) reagierte auf CVE-2026-35616 mit ungewöhnlicher Geschwindigkeit. Nur zwei Tage nach dem Fortinet-Advisory vom 4. April 2026 nahm die Behörde die Schwachstelle in den Known Exploited Vulnerabilities (KEV) Katalog auf, am 6. April 2026. Als Pflichttermin für alle US-Bundesbehörden (FCEB-Agenturen) setzte CISA den 9. April 2026, nur fünf Tage nach dem Advisory. Damit gehört CVE-2026-35616 zu den Schwachstellen mit der kürzesten je von CISA gesetzten Patch-Frist.
Für DACH-Unternehmen sind CISA-KEV-Einträge zwar rechtlich nicht bindend, fungieren aber als zuverlässiger Frühindikator für Schwachstellen, die von Angreifern aktiv genutzt werden. Die Erfahrung zeigt: Was US-Bundesbehörden in wenigen Tagen patchen müssen, wird häufig auch von Bedrohungsakteuren genutzt, die europäische Ziele angreifen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt deutschen Unternehmen, sich an CISA-KEV-Einträgen zu orientieren und bekannte, aktiv ausgenutzte Schwachstellen unverzüglich zu patchen.
Für Unternehmen unter NIS-2-Richtlinie in Deutschland ist die Situation besonders kritisch. Die NIS-2-Umsetzung im deutschen BSIG verpflichtet betroffene Organisationen, bekannte Schwachstellen unverzüglich zu beheben und Sicherheitsvorfälle innerhalb von 24 Stunden an das BSI zu melden. Ein ungepatchter FortiClient EMS nach einem CISA-KEV-Eintrag verstößt potenziell gegen diese gesetzlichen Sorgfaltspflichten und kann zu Bußgeldern von bis zu 10 Millionen Euro führen.
Zeitstrahl: Von der ersten Schwachstelle bis zum CISA-KEV
| Datum | Ereignis |
|---|---|
| 6. Februar 2026 | Fortinet veröffentlicht Advisory für CVE-2026-21643 (CVSS 9,8, SQL-Injection in EMS 7.4.4); Patch: Upgrade auf 7.4.5 |
| 6. Februar 2026 | NVD nimmt CVE-2026-21643 auf; Exploitation in der freien Wildbahn bestätigt |
| März 2026 | Administratoren wechseln auf FortiClient EMS 7.4.5 oder 7.4.6 als Reaktion auf CVE-2026-21643 |
| 31. März 2026 | watchTowr-Sensoren registrieren erste Exploitation von CVE-2026-35616 als Zero-Day |
| 4. April 2026 | Fortinet veröffentlicht Advisory FG-IR-26-099 für CVE-2026-35616 (CVSS 9,1); Hotfix und Upgrade auf 7.4.7 empfohlen |
| 6. April 2026 | CISA nimmt CVE-2026-35616 in KEV-Katalog auf |
| 9. April 2026 | Pflicht-Patch-Deadline für US-Bundesbehörden (FCEB-Agenturen) |
| Mai 2026 | Fortinet veröffentlicht FortiClient EMS 7.4.7 mit vollständigem Fix für CVE-2026-35616 |
Historischer Kontext: Fortinets Sicherheitsprobleme 2025 bis 2026
Die beiden FortiClient-EMS-Schwachstellen stehen nicht isoliert da. Fortinet hat in den vergangenen 18 Monaten eine außergewöhnliche Häufung kritischer Sicherheitslücken erlebt, was die Frage nach der Qualität des Secure Development Lifecycle (SDL) des Unternehmens aufwirft.
Im Jahr 2025 sorgte CVE-2025-24472 für Aufruhe: eine Authentication-Bypass-Schwachstelle in FortiOS und FortiProxy, die als Zero-Day aktiv ausgenutzt wurde. Anfang 2026 wurde bekannt, dass über 86.644 FortiGate-Firewalls in 194 Ländern Konfigurationsdaten exponiert hatten, das sogenannte FortiBleed-Ereignis. Dann folgten CVE-2026-21643 (Februar 2026) und CVE-2026-35616 (April 2026) in FortiClient EMS. Das Muster ist eindeutig: Fortinets Produktpalette hat strukturelle Sicherheitsprobleme, die sich von Produkt zu Produkt und von Version zu Version durchziehen.
John Hammond, Senior Security Researcher bei Huntress, kommentierte das Doppel-Zero-Day: “FortiClient EMS ist eine Kronjuwel-Applikation, weil sie als Brücke zwischen dem zentralen Managementserver und Tausenden von Endpunkten fungiert. Jede RCE-Schwachstelle in einem solchen System ist de facto eine Schwachstelle, die alle verwalteten Endpunkte betrifft. Unternehmen müssen erkennen, dass der Management-Plane genauso geschützt werden muss wie die Endpoints selbst.”
Florian Roth, einer der bekanntesten deutschen Threat-Intelligence-Experten und Ersteller von YARA-Regeln für Sicherheitssoftware, beschrieb die Situation auf X: “FortiClient EMS CVE-2026-35616 ist ein perfektes Beispiel für ein Defender’s-Dilemma: Administratoren mussten nach CVE-2026-21643 auf genau die Versionen wechseln, die von CVE-2026-35616 betroffen sind. Jeder Patch öffnete die nächste Lücke.” Roth empfahl, YARA-Detektionsregeln für anomale EMS-API-Anfragen zu aktivieren und die offizielle Fortinet-PSIRT-Seite täglich auf neue Advisories zu prüfen.
Vergleich mit anderen Enterprise-Zero-Days 2026
Die FortiClient-EMS-Schwachstellen sind nicht die einzigen kritischen Zero-Days, die 2026 für Aufsehen gesorgt haben. Ein Vergleich mit anderen schwerwiegenden Schwachstellen zeigt das Ausmaß der Bedrohungslandschaft für Enterprise-Verwaltungssoftware:
| CVE | Produkt | CVSS | Typ | CISA KEV | Patch-Zeitraum |
|---|---|---|---|---|---|
| CVE-2026-21643 | FortiClient EMS 7.4.4 | 9,8 | SQL-Injection (kein Auth) | Nein | Feb. 2026 |
| CVE-2026-35616 | FortiClient EMS 7.4.5–7.4.6 | 9,1–9,8 | Auth-Bypass / RCE | 6. April 2026 | April 2026 |
| CVE-2026-33017 | Langflow (KI-Pipeline) | 9,3 | RCE (kein Auth) | Ja | Q1 2026 |
| CVE-2026-4670 | MOVEit Automation | 9,8 | SQL-Injection | Ja | Q2 2026 |
| CVE-2026-50751 | Check Point VPN | 9,3 | Auth-Bypass | Ja | Q1 2026 |
| CVE-2026-21962 | Oracle WebLogic | 10,0 | RCE | Ja | Q1 2026 |
Drei der sechs schwerwiegendsten Enterprise-Zero-Days 2026 betreffen zentrale Verwaltungssysteme (FortiClient EMS, MOVEit Automation, Langflow). Angreifer zielen gezielt auf den Single Point of Control in Unternehmensnetzwerken. Ein kompromittierter Verwaltungsserver skaliert den Angriff auf alle verwalteten Systeme, ohne dass jedes Endgerät einzeln angegriffen werden muss.
Auswirkungen auf DACH-Unternehmen
FortiClient EMS ist im DACH-Raum bei mittelständischen und großen Unternehmen verbreitet, die FortiGate-Firewalls einsetzen und eine zentrale Endpoint-Management-Lösung benötigen. Unternehmen, die im Rahmen ihrer Zero-Trust-Strategie auf Fortinet-Produkte setzen oder VPN-Zugänge über FortiClient bereitstellen, haben mit hoher Wahrscheinlichkeit FortiClient EMS im Einsatz.
Die Konsequenzen einer erfolgreichen Exploitation sind gravierend. Ein Angreifer mit Zugriff auf den EMS-Server kann in Echtzeit die Konfigurationen aller verwalteten FortiClient-Instanzen verändern. Das ermöglicht das Deaktivieren von Sicherheitsrichtlinien, das Einschleusen von Malware über den Update-Mechanismus und das Abgreifen von VPN-Zugangsdaten der Belegschaft. Im schlimmsten Fall dient ein kompromittierter EMS als Launchpad für Ransomware-Angriffe gegen das gesamte Unternehmensnetzwerk. Der wirtschaftliche Schaden durch Cyberkriminalität in Deutschland belief sich laut Bitkom bereits 2025 auf 289 Milliarden Euro pro Jahr.
Dirk Schrader, Vice President Security Research bei Netwrix, analysierte das Bedrohungsszenario: “FortiClient EMS wird in vielen Unternehmen als vertrauenswürdige Komponente der Zero-Trust-Architektur eingesetzt. Wenn dieser Vertrauensanker selbst kompromittiert wird, kollabiert das gesamte Zero-Trust-Modell von innen heraus. Genau das macht diese Schwachstellen besonders gefährlich: Sie treffen Unternehmen in dem System, dem sie am meisten vertrauen.”
Schutzmaßnahmen: Was Unternehmen jetzt tun müssen
Fortinet hat konkrete Patches und Hotfixes bereitgestellt. Die empfohlenen Maßnahmen nach Dringlichkeit:
Sofortmaßnahmen innerhalb von 24 Stunden: Identifizierung aller FortiClient-EMS-Instanzen in der eigenen Infrastruktur. Überprüfung der installierten Version: betroffen ist 7.4.4 für CVE-2026-21643 sowie 7.4.5 und 7.4.6 für CVE-2026-35616. Für FortiClient EMS 7.4.5: Anwendung des Hotfix 7.4.5.2111. Für FortiClient EMS 7.4.6: Anwendung des Hotfix 7.4.6.2170. Upgrade auf FortiClient EMS 7.4.7 als permanente Lösung für CVE-2026-35616.
Netzwerksegmentierung: Zugriff auf den FortiClient-EMS-Webserver auf vertrauenswürdige Administrator-Netzwerke beschränken. Keine direkte Erreichbarkeit des EMS aus dem Internet oder aus nicht vertrauenswürdigen Netzwerksegmenten. Verstärkte Überwachung aller Konfigurationsänderungen auf Anomalien.
Kompromittierungsprüfung (Indicators of Compromise): Analyse der EMS-Zugangslogs auf ungewöhnliche HTTP-Anfragen mit SQL-Sonderzeichen (CVE-2026-21643) oder unautorisierte API-Aufrufe ohne gültige Sitzungstoken (CVE-2026-35616). Prüfung, ob unbekannte Benutzerkonten im EMS angelegt wurden. Untersuchung der FortiClient-Endpoint-Konfigurationen auf nicht autorisierte Änderungen. Bei Verdacht auf Kompromittierung: sofortige Forensik durch ein spezialisiertes Incident-Response-Team und Meldung an das BSI gemäß NIS-2-Anforderungen.
Marktauswirkungen: Druck auf Fortinet und den Wettbewerb
Die Häufung kritischer Schwachstellen setzt Fortinet unter erheblichen Druck. Nach FortiBleed (86.644 exponierte FortiGate-Firewalls Anfang 2026), CVE-2026-21643 (Februar 2026) und CVE-2026-35616 (April 2026) stellen immer mehr Enterprise-Kunden die Frage, ob ein einziger Anbieter für das gesamte Sicherheitsstack verantwortlich sein sollte.
Im Wettbewerbsumfeld profitieren Anbieter wie CrowdStrike (Falcon Endpoint) und SentinelOne von solchen Vorfällen. Cloud-native Endpoint-Security-Lösungen dieser Anbieter haben keine zentrale On-Premises-Management-Komponente mit der Angriffsfläche eines FortiClient EMS. Langfristig werden DACH-Unternehmen prüfen müssen, ob zentrale Management-Systeme On-Premises oder in der Cloud betrieben werden sollen und welche Angriffsfläche damit verbunden ist.
Jake Williams, Mitbegründer von BreachQuest und ehemaliger NSA-Analyst, sagte gegenüber Infosecurity Magazine: “Der Patch-Prozess bei FortiClient EMS ist komplizierter als bei klassischer Netzwerkhardware, weil ein Update des EMS-Servers eine Synchronisation mit allen verwalteten Endpunkten erfordert. Das führt dazu, dass viele Unternehmen den Patch hinauszögern, was das Angriffsfenster verlängert. Bei zwei kritischen CVEs in 60 Tagen ist das ein gefährliches Muster.”
5 Prognosen: Was als Nächstes kommt
1. Weitere FortiClient-EMS-Schwachstellen werden folgen. Die enge Abfolge von CVE-2026-21643 und CVE-2026-35616 deutet auf Code-Review-Defizite hin. Wenn externe Sicherheitsforscher die Angriffsfläche der EMS-API systematisch untersuchen, werden sie weitere Schwachstellen finden. Unternehmen sollten bis Jahresende 2026 mit mindestens einer weiteren kritischen FortiClient-EMS-CVE rechnen.
2. Nation-State-Akteure werden FortiClient-EMS-Exploits gezielt einsetzen. Die Kombination aus einfacher Ausnutzbarkeit und zentraler Managementrolle macht FortiClient EMS zu einem attraktiven Ziel für APT-Gruppen. APT28 (Russland), die bereits TP-Link-Router in Deutschland kompromittiert hat, und chinesische Gruppen wie UNC2814 haben 2026 starkes Interesse an westlicher Netzwerkinfrastruktur gezeigt.
3. Fortinet wird ein erweitertes Security-Audit-Programm ankündigen. Angesichts des Reputationsschadens wird Fortinet voraussichtlich externe Sicherheitsaudits ankündigen oder das Bug-Bounty-Programm erheblich ausbauen, ähnlich wie Microsoft nach dem Exchange-Server-Desaster 2021 reagierte.
4. Cloud-native Endpoint-Security gewinnt Marktanteile. Unternehmen, die nach diesen Vorfällen ihre FortiClient-EMS-Investition neu bewerten, werden verstärkt zu SaaS-basierten Plattformen wechseln. CrowdStrike und SentinelOne werden von dieser Verschiebung profitieren.
5. CISA und BSI werden Empfehlungen für zentrale Management-Systeme verschärfen. Die systematische Ausnutzung von Management-Servern (FortiClient EMS, MOVEit Automation, Langflow) wird regulatorische Reaktionen auslösen. Erwartbar sind konkretere Empfehlungen zur Netzwerkisolation, Patch-SLAs und Logging-Anforderungen für zentrale Verwaltungskomponenten.
Verwandte Artikel
- Langflow CVE-2026-33017: CVSS 9.3, KI-Pipelines in 20 Stunden kompromittiert [2026]
- MOVEit Automation CVE-2026-4670: CVSS 9,8, 1.400 Instanzen gefährdet [2026]
- Citrix NetScaler Lücke: CVSS 9.3, KEV in 7 Tagen [2026]
- NIS2 Deutschland: 29.500 Firmen unter neuem BSIG, Bußgelder bis 10 Mio. € [2026]
- BKA Cybercrime-Lagebericht 2025: 333.922 Fälle, 202 Mrd. € Schaden [2026]
- Microsoft Patchday: 206 Lücken, 3 Zero-Days [2026]
FAQ: FortiClient EMS CVE-2026-35616 und CVE-2026-21643
Welche FortiClient-EMS-Versionen sind von CVE-2026-35616 betroffen?
CVE-2026-35616 betrifft FortiClient EMS Version 7.4.5 und 7.4.6. Version 7.2 und darunter sind nicht betroffen. Die Lösung ist ein Upgrade auf Version 7.4.7 oder die Anwendung der Hotfixes 7.4.5.2111 bzw. 7.4.6.2170. FortiClient EMS Cloud und FortiSASE wurden von Fortinet intern gepatcht und erfordern keine manuellen Maßnahmen von Kunden.
Muss ich als DACH-Unternehmen sofort patchen?
Ja. Beide CVEs werden aktiv in der freien Wildbahn ausgenutzt. CVE-2026-35616 steht im CISA-KEV-Katalog, was bestätigt, dass Angreifer die Schwachstelle real einsetzen. Für Unternehmen unter NIS-2-Richtlinie besteht zudem eine gesetzliche Sorgfaltspflicht, bekannte und kritisch bewertete Schwachstellen unverzüglich zu beheben.
Kann ich prüfen, ob mein FortiClient EMS bereits kompromittiert wurde?
Analysieren Sie die EMS-Zugangslogs auf ungewöhnliche HTTP-Anfragen mit SQL-Sonderzeichen oder unautorisierte API-Aufrufe ohne gültige Sitzungstoken. Prüfen Sie, ob neue, unbekannte Benutzerkonten im EMS angelegt wurden. Untersuchen Sie die Konfigurationshistorie auf nicht autorisierte Änderungen an Endpoint-Richtlinien. Bei Verdacht empfiehlt sich sofortige Forensik durch ein spezialisiertes Incident-Response-Team.
Was ist der Unterschied zwischen CVE-2026-21643 und CVE-2026-35616?
CVE-2026-21643 (CVSS 9,8) ist eine SQL-Injection-Schwachstelle in FortiClient EMS 7.4.4, bei der manipulierte HTTP-Anfragen Datenbankbefehle einschleusen. CVE-2026-35616 (CVSS 9,1 bis 9,8) ist eine fehlerhafte Zugriffskontrolle in der EMS-API der Versionen 7.4.5 bis 7.4.6, die Authentication-Bypass und Code-Ausführung ermöglicht. Beide erlauben Remote-Code-Ausführung ohne Authentifizierung, nutzen aber unterschiedliche technische Schwachstellen aus.
Wann wurde CVE-2026-35616 erstmals ausgenutzt?
watchTowr registrierte die erste aktive Exploitation am 31. März 2026, vier Tage bevor Fortinet das offizielle Advisory am 4. April 2026 veröffentlichte. Es gab ein Fenster von mindestens vier Tagen, in dem Angreifer die Schwachstelle als Zero-Day ohne öffentliche Kenntnis ausnutzen konnten.
Ist FortiClient EMS Cloud auch betroffen?
Nein. Fortinet hat bestätigt, dass FortiClient EMS Cloud und FortiSASE intern gepatcht wurden. Kunden dieser Cloud-Dienste müssen keine manuellen Maßnahmen ergreifen. Betroffen ist ausschließlich die On-Premises-Version von FortiClient EMS in den Versionen 7.4.4 für CVE-2026-21643 und 7.4.5 bis 7.4.6 für CVE-2026-35616.
Wo finde ich das offizielle Fortinet-Advisory?
Das offizielle Fortinet-Advisory für CVE-2026-35616 ist unter der Kennung FG-IR-26-099 in der Fortinet-PSIRT-Datenbank verfügbar. Die vollständige Hotfix-Anleitung für Version 7.4.5 und 7.4.6 ist in den offiziellen Fortinet-Release-Notes für diese Versionen dokumentiert. Für CVE-2026-21643 ist das Advisory vom 6. Februar 2026 ebenfalls über Fortinet FortiGuard Labs abrufbar.
