InSEKurity of the Week (CW14/2026): FortiClient EMS Unauthenticated Remote Code Execution (CVE-2026-35616)

Diese Woche in unserer InSEKurity of the Week Serie: Eine kritische Improper Access Control-Schwachstelle in Fortinet FortiClient EMS, die als Zero-Day in freier Wildbahn ausgenutzt wurde und unauthentifizierten Angreifern ermoeglicht, die API-Authentifizierung zu umgehen und beliebigen Code auf Enterprise Endpoint Management Servern auszufuehren.

🚨 Zusammenfassung

• CVE-ID: CVE-2026-35616
• CVSS 3.1 Score: 9.1 (Critical)
• CWE: CWE-284 (Improper Access Control)
• Betroffene Software: Fortinet FortiClient EMS 7.4.5 - 7.4.6
• Angriffsvektor: Netzwerk (Unauthenticated Remote Attack)
• Authentifizierung erforderlich: Keine
• Auswirkung: Beliebige Code-Ausfuehrung auf dem EMS-Server
• Patch-Status: Hotfix verfuegbar (vollstaendiger Fix in 7.4.7)
• Veroeffentlichung: April 2026
• Status: Aktiv ausgenutzt (Zero-Day)
• CISA KEV: Hinzugefuegt am 6. April 2026

🌐 Was ist FortiClient EMS?

FortiClient Enterprise Management Server (EMS) ist Fortinets zentrale Endpoint-Management-Plattform. Sie dient als Kommando- und Kontrollzentrum fuer die Bereitstellung, Konfiguration und Verwaltung von FortiClient Endpoint-Security-Agenten in der gesamten Organisation.

Typische Einsatzgebiete

• Zentrales Endpoint-Management: Bereitstellung und Konfiguration von FortiClient-Agenten auf tausenden Endpunkten
• Security-Policy-Durchsetzung: Definition und Verteilung von Endpoint-Security-Richtlinien (Antivirus, Web-Filter, VPN)
• Zero Trust Network Access (ZTNA): Tag-basierte Zugriffskontrolle fuer Anwendungen und Netzwerkressourcen
• Schwachstellen-Scanning: Zentralisierte Schwachstellenbewertung und Compliance-Monitoring
• VPN-Management: Konfiguration und Verwaltung von SSL/IPSec-VPN-Verbindungen fuer Remote-Mitarbeiter
• Telemetrie und Reporting: Erfassung von Endpoint-Security-Telemetriedaten fuer SOC-Operationen

FortiClient EMS ist in Unternehmensumgebungen weit verbreitet und stellt ein hochwertiges Angriffsziel dar, da eine Kompromittierung einem Angreifer die Kontrolle ueber die Sicherheitslage aller verwalteten Endpunkte gibt. Fortinet haelt einen bedeutenden Marktanteil im Enterprise-Security-Bereich mit ueber 700.000 Kunden weltweit.

🔍 Technische Analyse

Beschreibung der Schwachstelle

CVE-2026-35616 ist eine Improper Access Control-Schwachstelle in der API-Schicht von FortiClient EMS. Die Schwachstelle funktioniert als Pre-Authentication API Access Bypass, der eine Privilegien-Eskalation ohne gueltige Anmeldedaten ermoeglicht. Ein entfernter, unauthentifizierter Angreifer kann speziell praeparierte HTTP-Requests an die EMS-Server-API senden und dabei die Authentifizierungs- und Autorisierungskontrollen vollstaendig umgehen.

Ursachenanalyse

Die Schwachstelle basiert auf:

1. Fehlende Authentifizierungsdurchsetzung: Ein spezifischer API-Endpunkt im EMS-Server erzwingt keine Authentifizierungspruefungen und verarbeitet Anfragen aus jeder Quelle ohne gueltige Session-Token oder Anmeldedaten
2. Improper Access Control (CWE-284): Die API-Autorisierungsschicht validiert nicht korrekt, ob die anfragende Entitaet ueber die erforderlichen Berechtigungen verfuegt
3. Direkter Code-Ausfuehrungspfad: Sobald die Authentifizierung umgangen ist, erreicht der Angreifer Funktionalitaet, die die Ausfuehrung von beliebigem Code oder Befehlen auf dem zugrundeliegenden Server ermoeglicht

Angriffsvektor

Ein typischer Angriff verlaeuft wie folgt:

# Schritt 1: Angreifer identifiziert eine FortiClient EMS-Instanz
# EMS laeuft typischerweise auf Port 443 (HTTPS) oder 8013
# Shodan/Censys koennen zur Identifizierung exponierter Instanzen verwendet werden

# Schritt 2: Angreifer erstellt einen unauthentifizierten API-Request
# der auf den verwundbaren Endpunkt abzielt

POST /api/task/trigger HTTP/1.1
Host: forticlient-ems.target.com:443
Content-Type: application/json

# Der Request umgeht die Authentifizierungsschicht vollstaendig
# Kein Session-Token, keine Anmeldedaten, kein Authorization-Header erforderlich

# Schritt 3: Der EMS-Server verarbeitet den Request
# als ob er von einem authentifizierten, privilegierten Benutzer kaeme

# Schritt 4: Angreifer erreicht Code-Ausfuehrung
# auf dem FortiClient EMS-Server

# Schritt 5: Vom EMS-Server aus kann der Angreifer:
# - Boeswillige Richtlinien an alle verwalteten Endpunkte pushen
# - Endpoint-Schutz in der gesamten Organisation deaktivieren
# - Anmeldedaten und Telemetriedaten sammeln
# - In das interne Netzwerk vordringen

Ausnutzung in freier Wildbahn

Die Zeitlinie der aktiven Ausnutzung:

• 31. Maerz 2026: Erste Exploitation-Versuche auf watchTowr-Honeypots aufgezeichnet
• Anfang April 2026: Defused Cyber beobachtet Zero-Day-Ausnutzung in Kundenumgebungen
• 4. April 2026: Fortinet veroeffentlicht Notfall-Hotfix und bestaetigt aktive Ausnutzung
• 6. April 2026: CISA fuegt CVE-2026-35616 dem Known Exploited Vulnerabilities (KEV)-Katalog hinzu
• 6. April 2026: Oeffentlicher Proof-of-Concept auf GitHub identifiziert

Auswirkungen nach erfolgreicher Exploitation

Sobald ein Angreifer Code-Ausfuehrung auf dem EMS-Server erreicht hat, sind die Konsequenzen schwerwiegend:

1. Deaktivierung der Endpoint-Security: Push von Richtlinien, die Antivirus, EDR und Web-Filtering auf allen verwalteten Endpunkten deaktivieren
2. Credential-Harvesting: Zugriff auf gespeicherte Anmeldedaten, VPN-Konfigurationen und ZTNA-Token aus der EMS-Datenbank
3. Lateral Movement: Nutzung des EMS-Servers als Pivot-Punkt, um interne Netzwerksegmente zu erreichen
4. Supply-Chain-Angriff: Push boeswilliger FortiClient-Updates oder -Konfigurationen an alle verwalteten Endpunkte
5. Persistenz: Einrichtung von Backdoors durch manipulierte Endpoint-Richtlinien
6. Datenexfiltration: Zugriff auf Telemetriedaten, Sicherheitsprotokolle und Schwachstellen-Scan-Ergebnisse aller Endpunkte

⚠️ Folgenabschaetzung

Unmittelbare Auswirkung

• Unauthentifizierte RCE: Keine Anmeldedaten erforderlich, maximale Angriffsflaeche
• Zero-Day-Ausnutzung: Angreifer nutzten die Schwachstelle aus, bevor ein Patch verfuegbar war
• Kritische Infrastruktur: EMS-Server verwalten die Sicherheit ganzer Endpoint-Flotten
• CISA KEV gelistet: Bundesbehoerden muessen bis 9. April 2026 patchen

Betroffene Versionen

Version	Status
FortiClient EMS 7.4.5	Verwundbar - Hotfix verfuegbar
FortiClient EMS 7.4.6	Verwundbar - Hotfix verfuegbar
FortiClient EMS < 7.4.5	Nicht betroffen
FortiClient EMS 7.4.7+	Nicht betroffen (kommend)

Betroffene Umgebungen

Besonders gefaehrdet sind:

• Grossunternehmen: Mit tausenden verwalteten Endpunkten und zentralisierten EMS-Deployments
• Managed Security Service Provider (MSSPs): Die FortiClient EMS fuer mehrere Kunden betreiben
• Behoerden und Kritische Infrastruktur: Mit exponierten oder unzureichend segmentierten EMS-Servern
• Gesundheitswesen und Finanzdienstleister: Mit strengen Compliance-Anforderungen
• Remote/Hybrid-Arbeitsumgebungen: Die auf FortiClient VPN vertrauen, das ueber EMS verwaltet wird

Angreiferprofile

Die Schwachstelle ist attraktiv fuer:

• APT-Gruppen: Fuer persistenten Zugriff und Endpoint-Kontrolle ueber gesamte Organisationen
• Ransomware-Betreiber: Deaktivierung des Endpoint-Schutzes vor dem Deployment von Ransomware
• Staatliche Akteure: Fuer Spionage ueber Endpoint-Telemetrie und Credential-Diebstahl
• Initial Access Broker: Verkauf von Zugang zu kompromittierten EMS-Umgebungen

🛡️ Mitigationsstrategien

Sofortmassnahmen (Prioritaet 1) ⚡

KRITISCH: Diese Schwachstelle wird als Zero-Day aktiv ausgenutzt - sofortiges Handeln erforderlich!

1. Version pruefen:

   # FortiClient EMS-Version pruefen
   # Ueber Web-Konsole: Help > About
   # Oder installierte Version auf dem Server pruefen
   
   # Windows (typische EMS-Installation)
   wmic product where "name like '%%FortiClient%%EMS%%'" get name,version
   
   # Betroffen: 7.4.5 und 7.4.6

2. Hotfix anwenden:

   • Download und Installation des Notfall-Hotfix vom Fortinet Support Portal
   • Hotfixes sind fuer FortiClient EMS 7.4.5 und 7.4.6 verfuegbar
   • Upgrade auf FortiClient EMS 7.4.7 planen, sobald veroeffentlicht

3. Netzwerkzugang einschraenken:

   # Zugriff auf den EMS-Server auf vertrauenswuerdige Netzwerke beschraenken
   # EMS sollte NIEMALS direkt dem Internet ausgesetzt sein
   
   # Beispiel: Windows-Firewall-Regel zur Einschraenkung des EMS-Zugriffs
   netsh advfirewall firewall add rule name="Restrict EMS API" ^
     dir=in action=allow protocol=tcp localport=443 ^
     remoteip=10.0.0.0/8,172.16.0.0/12,192.168.0.0/16
   
   netsh advfirewall firewall add rule name="Block EMS External" ^
     dir=in action=block protocol=tcp localport=443

4. Auf Kompromittierung pruefen:

   # EMS-Server-Logs auf verdaechtige API-Aktivitaet ueberpruefen
   # Standard-Log-Speicherort unter Windows:
   # C:\Program Files\Fortinet\FortiClientEMS\logs\
   
   # Nach unauthentifizierten API-Zugriffsmustern suchen
   findstr /i "task/trigger" "C:\Program Files\Fortinet\FortiClientEMS\logs\ems.log"
   
   # Auf neue oder geaenderte Admin-Accounts pruefen
   # Ueber EMS Web-Konsole: Administration > Admin Users
   
   # Windows Event Logs auf verdaechtige Prozess-Ausfuehrung pruefen
   wevtutil qe Security /q:"*[System[(EventID=4688)]]" /c:50 /rd:true /f:text
   
   # Auf ungewoehnliche Netzwerkverbindungen vom EMS-Server pruefen
   netstat -ano | findstr ESTABLISHED

Detektionsmassnahmen 🔍

Indicators of Compromise (IoCs):

# Auf unauthentifizierte API-Requests zum EMS-Server ueberwachen
# Nach Requests auf /api/task/trigger ohne gueltige Session-Tokens suchen

# Auf ungewoehnliche Prozesse pruefen, die vom EMS-Dienst gestartet wurden
wmic process where "parentprocessid=[EMS_PID]" get processid,name,commandline

# Geplante Aufgaben auf Persistenz-Mechanismen ueberpruefen
schtasks /query /fo LIST /v | findstr /i "fortinet\|forticlient"

# Ausgehende Verbindungen vom EMS-Server ueberwachen
netstat -ano | findstr "ESTABLISHED" | findstr /v "443\|8013\|8014"

SIEM-Regeln:

• Ueberwachung von API-Requests an /api/task/trigger ohne vorherige Session-Authentifizierung
• Alerting bei neuen administrativen Accounts in FortiClient EMS
• Erkennung von Richtlinien-Aenderungen, die ausserhalb von Wartungsfenstern an Endpunkte gepusht werden
• Ueberwachung ungewoehnlicher ausgehender Verbindungen vom EMS-Server
• Alerting bei massenhaften Endpoint-Richtlinien-Aenderungen oder FortiClient-Agenten-Rekonfigurationen
• Logging aller Zugriffe auf die EMS-Management-Oberflaeche von nicht-standardmaessigen IP-Bereichen

Langfristige Sicherheitsverbesserungen

1. Netzwerksegmentierung: EMS-Server in einem dedizierten Management-VLAN mit strikten Zugriffskontrollen isolieren
2. Patch-Management: Fortinet PSIRT-Advisories abonnieren fuer sofortige Benachrichtigung ueber Sicherheitsupdates
3. Monitoring & Logging: EMS-Logs an ein zentralisiertes SIEM fuer Echtzeit-Analyse weiterleiten
4. Zero-Trust-Architektur: Zusaetzliche Authentifizierungsschichten (MFA, Zertifikat-basiert) fuer Management-Zugriff implementieren
5. Regelmaessige Audits: Periodische Ueberpruefung von EMS-Konfigurationen, Admin-Accounts und Endpoint-Richtlinien

🎯 Warum ist das kritisch?

1. CVSS 9.1 - Critical: Nahezu maximale Gefaehrdungsstufe
2. Keine Authentifizierung erforderlich: Jeder Angreifer mit Netzwerkzugang kann die Schwachstelle ausnutzen
3. Zero-Day-Ausnutzung: Angreifer nutzten die Schwachstelle aus, bevor ein Patch existierte
4. Aktive Ausnutzung bestaetigt: In realen Angriffen von mehreren Sicherheitsfirmen beobachtet
5. CISA KEV gelistet: Zum Known Exploited Vulnerabilities-Katalog hinzugefuegt mit 3-Tage-Behebungsfrist
6. Massiver Blast Radius: Kompromittierung eines EMS-Servers kann tausende verwaltete Endpunkte betreffen
7. Oeffentlicher PoC verfuegbar: Proof-of-Concept-Exploit-Code auf GitHub veroeffentlicht senkt die Huerden fuer Ausnutzung
8. Hochwertiges Ziel: EMS-Server enthalten Anmeldedaten, Richtlinien und Telemetriedaten ganzer Organisationen

🚀 Zeitplan und Offenlegung

• 31. Maerz 2026: Erste Exploitation-Versuche auf Honeypots erkannt
• Anfang April 2026: Zero-Day-Ausnutzung von Defused Cyber bestaetigt
• 4. April 2026: Fortinet veroeffentlicht Notfall-Hotfix
• 5. April 2026: Fortinet veroeffentlicht Security Advisory (FG-IR-26-071)
• 6. April 2026: CISA fuegt CVE-2026-35616 dem KEV-Katalog hinzu (Frist: 9. April 2026)
• 6. April 2026: Oeffentlicher PoC auf GitHub veroeffentlicht
• Kommend: FortiClient EMS 7.4.7 mit vollstaendigem Patch

🔗 Ressourcen und Referenzen

• CVE: CVE-2026-35616
• NVD: CVE-2026-35616
• Fortinet PSIRT Advisory: FG-IR-26-071
• CWE: CWE-284: Improper Access Control
• CISA KEV: Known Exploited Vulnerabilities Catalog

💼 SEKurity unterstuetzt Sie

Diese kritische Zero-Day-Schwachstelle demonstriert das verheerende Potenzial eines unauthentifizierten Zugriffs auf zentralisierte Endpoint-Management-Infrastruktur. Ein einziger praeparierter API-Request kann Angreifern die Kontrolle ueber die Sicherheitslage einer gesamten Organisation geben und den Schutz auf tausenden Endpunkten gleichzeitig deaktivieren.

Unsere Leistungen

• Penetrationstests: Web-Anwendungen, Mobile Apps (Android & iOS), SAP-Systeme, Active Directory
• Grossflaechige Angriffe: Perimeter-Tests, IT-Infrastruktur-Tests, Red Team Engagements
• Security Awareness: Phishing-Kampagnen, Hacking-Demonstrationen

Handeln Sie jetzt – bevor Angreifer es tun.

---

Kontakt:

🌐 Webseite: www.sekurity.de

📧 Anfragen: www.sekurity.de/kontakt

📱 LinkedIn: SEKurity GmbH

---

Ihr SEKurity Team — Your Trusted Adversaries

Die Sicherheit Ihrer Endpoint-Infrastruktur ist unser Antrieb.

---

Quellen

• Fortinet Patches Actively Exploited CVE-2026-35616 in FortiClient EMS - The Hacker News
• New FortiClient EMS flaw exploited in attacks, emergency patch released - BleepingComputer
• CVE-2026-35616: FortiClient EMS Flaw Under Active Exploitation - eSecurity Planet
• FortiClient EMS zero-day exploited, emergency hotfixes available - Help Net Security
• CISA Warns of Fortinet 0-Day Vulnerability Actively Exploited in Attacks - Cybersecurity News
• CVE-2026-35616 Fortinet FortiClientEMS zero-day exploited - Tenable
• Fortinet FortiClient EMS vulnerability: CVE-2026-35616 - runZero