Sofort patchen! CVE-2026-35616 und CVE-2026-21643: Fortinet EMS wird aktiv ausgenutzt

Fortinet FortiClient EMS ist durch zwei CVEs mit kritischem Schweregrad unmittelbar gefährdet: CVE-2026-35616 in den Versionen 7.4.5–7.4.6 und CVE-2026-21643 in 7.4.4. CVE-2026-35616 (CVSS 9,8) ist eine aktiv ausgenutzte Schwachstelle in Fortinet FortiClient Enterprise Management Server (EMS) 7.4.5 bis 7.4.6, die am 4. April 2026 veröffentlicht wurde. Die Schwachstelle ist eine fehlerhafte Zugriffskontrolle [CWE-284], die für die nicht authentifizierte Remote-Code-Ausführung (RCE) ausgenutzt werden kann. Wird CVE-2026-35616 ausgenutzt, lassen sich über böswillig gestaltete HTTP-Anfragen nicht autorisierter Code oder Befehle ausführen. Da die Schwachstelle über die Feiertage bekannt wurde, wurden bislang nur wenige nationale CERT-Warnungen zu CVE-2026-35616 [1][2] herausgegeben. CVE-2026-21643 ist die zweite aktiv ausgenutzte Schwachstelle, die in den letzten Wochen in Fortinet FortiClient EMS identifiziert wurde. Defused Cyber hat kürzlich Kampagnen entdeckt, die CVE-2026-21643 (CVSS 9.8) angreifen, von denen ebenfalls Fortinet FortiClient EMS betroffen ist.

Der OPENVAS ENTERPRISE FEED von Greenbone enthält separate Remote-Banner-Prüfungen für CVE-2026-35616 [3] und CVE-2026-21643 [4] und bietet eine spezielle Testfamilie für Fortinet-Schwachstellen, die es Sicherheitsverantwortlichen ermöglicht, sich aktiv entwickelnde Bedrohungen abzuwehren.

FortiClient EMS ist der zentrale Verwaltungsserver von Fortinet für die Bereitstellung, Konfiguration, Aktualisierung und Überwachung von FortiClient-fähigen Endpunkten in Unternehmensumgebungen. Im Sicherheitsbetrieb hilft FortiClient EMS dabei, Endpunktsicherheitsrichtlinien durchzusetzen, den Überblick über den Gerätestatus und die Compliance zu behalten und Endpunktkontrollen mit dem breiteren Fortinet-Ökosystem zu koordinieren.

 

Risikobewertung für CVE-2026-35616

Die aktive Ausnutzung von CVE-2026-21643 (CVSS 9,8) wurde am 4. April in Fortinets Sicherheitshinweis (FG-IR-26-099) bestätigt. Defused Cyber wird die Erkennung aktiver Zero-Day-Angriffe und die verantwortungsvolle Offenlegung gegenüber dem Anbieter zugeschrieben. Watchtower Labs hat ebenfalls berichtet, seit dem 31. März 2026 Angriffe entdeckt zu haben. CVE-2026-35616 wurde am 6. April in den KEV-Katalog der CISA aufgenommen und für US-Bundesbehörden wurde eine strenge Patch-Frist bis zum 9. April gesetzt.

Es sind keine spezifischen technischen Analysen, Proof-of-Concept-Exploits (PoC) oder Details zu Angriffskampagnen für CVE-2026-35616 öffentlich verfügbar. Das Risiko ist erhöht, da die CVE als Zero-Day-Exploit ausgenutzt wurde – ein klares Zeichen, dass bereits funktionierende Exploit-Tools im Umlauf sind. Das Shadowserver-Dashboard zeigt an, dass etwa 2.000 exponierte FortiClient EMS-Instanzen im Internet erreichbar bleiben; dies kann jedoch auch Honeypot-Geräte einschließen.

Risikobewertung für CVE-2026-21643

CVE-2026-21643 (CVSS 9,8) entstand während der Überarbeitung der Datenbankverbindungsschicht durch Fortinet in Version 7.4.4 und wurde in Version 7.4.5 schnell behoben. In den letzten Wochen berichtete Defused Cyber über Kampagnen, die CVE-2026-21643 angreifen, von dem auch Fortinet FortiClient EMS betroffen ist. Wie in unserem Bedrohungsbericht vom März 2026 kurz erwähnt, handelt es sich bei CVE-2026-21643 um eine SQL-Injection-Schwachstelle [CWE-89], die potenziell zu unauthentifiziertem RCE über speziell gestaltete HTTP-Anfragen führen kann. Es wurden zahlreiche nationale CERT-Warnungen herausgegeben [5][6][7][8][9][10][11][12][13][14][15][16][17]. CVE-2026-21643 wurde noch nicht in die KEV-Liste der CISA aufgenommen.

Eine technische Ursachenanalyse für CVE-2026-21643 wurde veröffentlicht, was eine schnelle Entwicklung von Exploits ermöglicht.  Der Analyse zufolge hängt die Ausnutzbarkeit davon ab, ob die Multitenancy-Funktion über die Konfiguration SITES_ENABLED=True aktiviert ist. Ist Multitenancy deaktiviert, ist die Middleware-VDOM fest codiert und liest den böswillig kontrollierten Site-Header nicht. Der anfällige Pfad bleibt zwar vorhanden, ist aber effektiv nicht erreichbar.

Abhilfe für CVE-2026-35616 und CVE-2026-21643 in Fortinet FortiClient EMS

Laut der Sicherheitsmitteilung von Fortinet sind nur die Versionen FortiClient EMS 7.4.5 bis 7.4.6 betroffen; FortiClient EMS 7.2 ist nicht betroffen. Die sofortige Abhilfe für CVE-2026-35616 besteht darin, den entsprechenden Notfall-Hotfix anzuwenden, der in der offiziellen Sicherheitsempfehlung von Fortinet für FortiClient EMS 7.4.5 oder 7.4.6 aufgeführt ist. Die Anwendung des Hotfixes erfordert keine Systemausfallzeit.

Während CVE-2026-35616 die Versionen 7.4.5 bis 7.4.6 betrifft, betrifft CVE-2026-21643 die frühere Version 7.4.4 und wird durch ein Upgrade auf 7.4.5 oder höher behoben. Instanzen mit früheren Versionen sollten zunächst auf mindestens 7.4.5 aktualisiert werden und dann den entsprechenden Hotfix anwenden.

Laut Fortinet wird FortiClientEMS Version 7.4.7 bei seiner Veröffentlichung ebenfalls den Fix für dieses Problem enthalten. Der OPENVAS ENTERPRISE FEED von Greenbone enthält separate Remote-Banner-Prüfungen für CVE-2026-35616 [3] und CVE-2026-21643 [4] und bietet eine spezielle Testfamilie für Fortinet-Schwachstellen, die es Sicherheitsverantwortlichen ermöglicht, sich aktiv weiterentwickelnde Bedrohungen zu erkennen und abzuwehren.

Zusammenfassung

Fortinet FortiClient EMS ist einem unmittelbaren Risiko durch zwei kritische, aktiv ausgenutzte Schwachstellen ausgesetzt: CVE-2026-35616 in den Versionen 7.4.5–7.4.6 und CVE-2026-21643 in Version 7.4.4. Unternehmen sollten dringend exponierte EMS-Server identifizieren, betroffene Installationen aktualisieren und die Notfall-Hotfixes von Fortinet unverzüglich anwenden. Der OPENVAS ENTERPRISE FEED von Greenbone kann Sicherheitsverantwortlichen dabei helfen, anfällige Systeme zu erkennen und die Behebung der Schwachstellen zu priorisieren.