**Fortinet** hat kritische Patches zur Behebung einer Sicherheitslücke in **FortiClient EMS** veröffentlicht, die bereits ausgenutzt wird. ### CVE-2026-35616: Pre-Authentication API Access Bypass Die als **CVE-2026-35616** (CVSS-Score: 9,1) bezeichnete Schwachstelle ist ein Pre-Authentication API Access Bypass, der zu einer Eskalation von Berechtigungen führen könnte. Laut **Fortinet**s Advisory kann diese Schwachstelle bei unzureichender Zugriffskontrolle ([CWE-284](https://cwe.mitre.org/data/definitions/284.html)) einem nicht authentifizierten Angreifer ermöglichen, über präparierte Anfragen unautorisierten Code oder Befehle auszuführen. ### Betroffene Versionen und Abhilfemaßnahmen Das Problem betrifft **FortiClient EMS** Versionen 7.4.5 bis 7.4.6. Während ein vollständiger Patch für Version 7.4.7 erwartet wird, wurde bereits ein Hotfix zur Behebung der Schwachstelle veröffentlicht. Benutzern wird dringend empfohlen, den Hotfix umgehend anzuwenden. ### Entdeckungs- und Ausnutzungszeitplan **Simo Kohonen** von **Defused Cyber** und **Nguyen Duc Anh** werden für die Entdeckung und Meldung der Schwachstelle geehrt. **Defused Cyber** wies bereits Anfang dieser Woche auf X auf die Ausnutzung von **CVE-2026-35616** als zero-day hin. Laut **watchTowr** wurden erste Ausnutzungsversuche gegen seine Honeypots am 31. März 2026 aufgezeichnet. ### Mögliche Auswirkungen Die erfolgreiche Ausnutzung dieser Lücke ermöglicht es einem nicht authentifizierten Angreifer, die API-Authentifizierung und -Autorisierung zu umgehen, was die Ausführung von bösartigem Code oder Befehlen über präparierte Anfragen ermöglicht. **Fortinet** fordert alle betroffenen Kunden dringend auf, den Hotfix für **FortiClient EMS** 7.4.5 und 7.4.6 sofort zu installieren, da das Unternehmen eine aktive Ausnutzung in freier Wildbahn beobachtet hat. ### Kontext: Eine weitere aktuelle FortiClient EMS-Schwachstelle Diese Entwicklung folgt auf die kürzliche Behebung und anschließende aktive Ausnutzung einer weiteren kritischen Schwachstelle in **FortiClient EMS** (**CVE-2026-21643**, CVSS-Score: 9,1). Es ist derzeit unbekannt, ob derselbe Bedrohungsakteur hinter der Ausnutzung beider Schwachstellen steckt oder ob sie gemeinsam eingesetzt werden. ### Empfehlungen Angesichts der Schwere dieser Schwachstellen wird den Benutzern empfohlen, ihre **FortiClient EMS**-Installationen so schnell wie möglich auf die neueste Version zu aktualisieren. **Benjamin Harris**, CEO und Gründer von **watchTowr**, betonte die Dringlichkeit: "Das Timing des Anstiegs der Ausnutzung dieses zero-day in freier Wildbahn ist wahrscheinlich kein Zufall." Er fügte hinzu: "Angreifer haben wiederholt gezeigt, dass Feiertagswochenenden die beste Zeit zum Handeln sind. Sicherheitsteams sind nur zur Hälfte besetzt, Bereitschaftsingenieure sind abgelenkt, und das Zeitfenster zwischen Kompromittierung und Erkennung verlängert sich von Stunden auf Tage. Ostern stellt wie jeder andere Feiertag eine Gelegenheit dar." "Was enttäuschend ist, ist das Gesamtbild. Dies ist die zweite unauthentifizierte Schwachstelle in **FortiClient EMS** innerhalb weniger Wochen." "Daher sollten Organisationen, die **FortiClient EMS** betreiben und dem Internet ausgesetzt sind, dies erneut als Notfallsituation behandeln, nicht als etwas, das sie am Dienstagmorgen angehen können. Wenden Sie den Hotfix an. Angreifer sind bereits im Vorteil."