Jetzt updaten! Kritische FortiClient-EMS-LĂĽcke wird attackiert
Fortinet hat Hotfixes bereitgestellt und rät Admins dringend, sie zügig anzuwenden. Sie stopfen ein angegriffenes Codeschmuggel-Leck.
(Bild: Skorzewiak/Shutterstock.com)
In FortiClient EMS klafft eine Zero-Day-Lücke, die Angreifer bereits in freier Wildbahn angreifen. Sie können dadurch ohne vorherige Authentifizierung Schadcode einschleusen und ausführen.
Davor warnt der Hersteller Fortinet nun in einer Sicherheitsmitteilung. Demnach hat FortiClient EMS eine Schwachstelle in den Zugriffskontrollen, was Angreifern ohne vorherige Anmeldung ermöglicht, unberechtigt Code oder Befehle mittels manipulierter Anfragen einzuschleusen und auszuführen (CVE-2026-35616, CVSS 9.8, Risiko „kritisch“). Und genau das machen bösartige Akteure bereits im Internet, wie Fortinet den Angaben nach beobachtet hat. Details zu den Angriffen, etwa zu Art und Umfang, nennt Fortinet nicht. Ebenso fehlen Hinweise auf Indizien für erfolgreiche Angriffe (Indicators of Compromise, IOC).
Vorerst Hotfix, reguläres Update in Arbeit
Fortinet rät IT-Verantwortlichen mit verwundbarer FortiClient-EMS-Software dringend, die Hotfixes für FortiClient EMS 7.4.5 und 7.4.6 rasch zu installieren. Dafür stellt der Hersteller zwei Anleitungen bereit: einmal für den Hotfix für FortiClient EMS 7.4.5 und dann für FortiClient EMS 7.4.6.
Fortinet kündigt zudem die Version FortiClient EMS 7.4.7 an, die den Hotfix ebenfalls enthalten soll. Bis dahin genügen Fortinet zufolge die vorgenannten Hotfixes vollkommen, um den Missbrauch der Schwachstelle zu verhindern, wie das Unternehmen versichert. Betroffen ist FortiClient EMS nur in den 7.4er-Versionen, der 7.2er-Entwicklungszweig ist demnach nicht anfällig für die Schwachstelle.
Videos by heise
Fortinet hat die Sicherheitsmitteilung offenbar in größter Eile zusammengeschustert. Die Zusammenfassung nennt anders als der CVE-Schwachstelleneintrag lediglich einen CVSS-Wert von 9.1, was jedoch immer noch auf eine kritische Sicherheitslücke verweist. Außerdem steht dort, dass es keinen Exploit für die Lücke gebe – obwohl Fortinet im Fließtext ausdrücklich darauf hinweist.
IT-Verantwortliche mĂĽssen daher nun am Osterwochenende trotzdem ran und die Aktualisierungen einspielen. Bei der Gelegenheit sollten sie zudem prĂĽfen, ob ihre Zertifikate von D-Trust zurĂĽckgezogen wurden und ebenfalls bis Ostermontag um 17 Uhr ersetzt werden mĂĽssen.
(dmk)
