# CISA weist Bundesbehörden an, aktiv ausgenutzte FortiClient EMS-Schwachstelle zu patchen  **CISA** hat eine dringende Anweisung für Bundesbehörden herausgegeben, ihre **FortiClient Enterprise Management Server (EMS)**-Instanzen bis Freitag zu patchen, um **CVE-2026-35616** zu beheben, eine Schwachstelle, die aktiv in freier Wildbahn ausgenutzt wird. ## Details zur Schwachstelle Diese von **Defused** entdeckte Sicherheitslücke ist eine Pre-Authentication API-Zugriffsumgehung. Sie ermöglicht es Angreifern, Authentifizierungs- und Autorisierungsmechanismen vollständig zu umgehen, was potenziell zu unbefugtem Zugriff und Kontrolle über betroffene Systeme führen kann. **Fortinet** hat Notfall-Hotfixes zur Behebung der Schwachstelle veröffentlicht und erklärt, dass sie auf einer Schwäche bei der Zugriffskontrolle beruht. Unauthentifizierte Angreifer können diese ausnutzen, um durch das Senden speziell präparierter Anfragen beliebigen Code oder Befehle auszuführen. ## Aktive Ausnutzung und Abhilfemaßnahmen **Fortinet** hat bestätigt, dass Bedrohungsakteure diese Schwachstelle aktiv in zero-day-Angriffen ausnutzen. IT-Administratoren wird dringend empfohlen, die bereitgestellten Hotfixes sofort anzuwenden oder auf **FortiClient EMS** Version 7.4.7 zu aktualisieren, sobald diese verfügbar ist. "**Fortinet** hat beobachtet, dass dies in freier Wildbahn ausgenutzt wird, und fordert gefährdete Kunden dringend auf, den Hotfix für **FortiClient EMS** 7.4.5 und 7.4.6 zu installieren", erklärte das Unternehmen. ## Betroffene Instanzen **Shadowserver**, eine Internet-Sicherheits-Watchdog-Gruppe, verfolgt derzeit fast 2.000 online exponierte **FortiClient EMS**-Instanzen, wobei ein erheblicher Teil in den Vereinigten Staaten und Europa ansässig ist. Die genaue Anzahl der gepatchten oder anfälligen Konfigurationen bleibt unbekannt.  *Online exponierte FortiClient EMS-Instanzen (Shadowserver)* ## CISA's Anweisung und Empfehlungen Am Montag fügte **CISA** **CVE-2026-35616** seinem Katalog bekannter ausgenutzter Schwachstellen (KEV) hinzu und wies die Bundesbehörden (Federal Civilian Executive Branch - FCEB) an, ihre **FortiClient EMS**-Instanzen bis Donnerstag Mitternacht, den 9. April, gemäß der Binding Operational Directive (BOD) 22-01 zu patchen. "Diese Art von Schwachstelle ist ein häufiger Angriffsvektor für böswillige Cyberakteure und stellt erhebliche Risiken für das Bundesunternehmen dar", warnte **CISA**. Die Behörde empfiehlt, Abhilfemaßnahmen gemäß den Anweisungen des Herstellers anzuwenden, die geltenden BOD 22-01-Richtlinien für Cloud-Dienste zu befolgen oder die Nutzung des Produkts einzustellen, wenn keine Abhilfemaßnahmen verfügbar sind. Obwohl BOD 22-01 speziell für US-Bundesbehörden gilt, ermutigt **CISA** alle Verteidiger, einschließlich derjenigen im privaten Sektor, die Priorisierung des Patchings von **CVE-2026-35616**, um die Netzwerke ihrer Organisationen zu sichern. ## Wiederkehrende Fortinet-Schwachstellen **Fortinet** hat bereits im Februar eine weitere kritische **FortiClient EMS**-Schwachstelle (**CVE-2026-21643**) gepatcht, die ebenfalls als ausgenutzt in Angriffen identifiziert wurde. **Fortinet**-Schwachstellen werden häufig in Cyber-Spionagekampagnen und Ransomware-Angriffen ausgenutzt, oft als zero-day-Bugs, um Unternehmensnetzwerke zu kompromittieren. Kürzlich blockierte **Fortinet** **FortiCloud** SSO-Verbindungen von Geräten, auf denen anfällige Firmware-Versionen liefen, um **CVE-2026-24858** zero-day-Angriffe zu mildern.