FortiClient EMS-Schwachstelle für Infostealer-Angriffe ausgenutzt

Neue Angriffswelle auf ungepatchte FortiClient EMS-Systeme verbreitet den EKZ Infostealer über legitime Management-Pfade direkt auf verwaltete Endpunkte.

Das IT-Sicherheitsunternehmen Arctic Wolf dokumentiert eine neue Welle gezielter Cyberangriffe auf Unternehmensinfrastrukturen. Im Zentrum der Angriffe steht eine kritische Schwachstelle im FortiClient Endpoint Management Server, kurz EMS, von Fortinet. Die Sicherheitslücke wird unter der Kennung CVE-2026-35616 geführt und weist eine Einstufung im Common Vulnerability Scoring System von 9,1 auf, was sie als kritisch klassifiziert. Die Schwachstelle erlaubt es Angreifern, über das Netzwerk speziell präparierte Anfragen an den Server zu senden, um eine Remotecodeausführung zu bewirken. Eine vorherige Authentifizierung oder Anmeldung am System ist für das Ausnutzen der Schwachstelle nicht erforderlich.

Bereits Anfang April 2026 hatte der Hersteller Fortinet dringende Sicherheitsupdates und Hotfixes für diesen Fehler veröffentlicht, da die Lücke zu diesem Zeitpunkt bereits als Zero-Day-Schwachstelle aktiv in der Wildbahn ausgenutzt wurde. In der Folge nahm die Cybersecurity and Infrastructure Security Agency, CISA, die Schwachstelle am 6. April 2026 in ihre offizielle Liste bekanntermaßen ausgenutzter Sicherheitslücken auf. Die aktuellen Angriffe zeigen, dass trotz der wochenlangen Verfügbarkeit von Patches weiterhin zahlreiche Systeme ungepatcht im Netz erreichbar sind und nun systematisch attackiert werden.

Der Missbrauch der administrativen VPN-Skript-Workflows

Die von den Sicherheitsanalysten beobachteten Angriffsmuster verdeutlichen die gravierenden Auswirkungen, wenn eine zentrale Management-Komponente kompromittiert wird. Der FortiClient Endpoint Management Server dient in Unternehmen als zentrale Plattform zur Verwaltung von Geräterichtlinien, VPN-Konfigurationen und Endpunktsicherheits-Zuständen. Da das System naturgemäß über weitreichende administrative Privilegien auf allen angeschlossenen Endgeräten verfügt, bricht ein erfolgreicher Einbruch auf dem Server die logischen Schutzbarrieren des gesamten Netzwerks auf.

Die Angreifer nutzen bei der aktuellen Kampagne die legitimen Management-Pfade und VPN-Skript-Workflows des FortiClients aus. Sie schleusen Befehlsskripte ein, die wiederum die Windows PowerShell auf den Zielrechnern aufrufen. Auf diese Weise werden die schadhaften Befehle so an die verwalteten Endpunkte übermittelt, dass sie für lokale Sicherheitslösungen wie legitime administrative Operationen des IT-Betriebs aussehen. Dies deutet darauf hin, dass die Akteure über detaillierte Kenntnisse der betroffenen Softwareumgebungen verfügen und die internen Kommunikationsprotokolle der Verwaltungskonsole gezielt nachbilden.

Schadsoftware-Analyse des EKZ Infostealers

Die über diesen Weg eingeschleuste Schadlast ist eine Informationsdiebstahl-Software, die unter der Bezeichnung EKZ Infostealer überwacht wird. Um die Wahrscheinlichkeit einer manuellen Entdeckung durch Administratoren zu verringern, tarnen die Angreifer die Schadsoftware als vermeintliches Endpunkt-Update des Herstellers Fortinet. Sobald das Programm auf dem Endgerät ausgeführt wird, beginnt es mit der systematischen Suche nach sensiblen Daten in den installierten Webbrowsern.

Das Schadprogramm nimmt gezielt Datenstrukturen von Google Chrome, Microsoft Edge, Mozilla Firefox sowie weiteren Browsern ins Visier, die auf den Architekturen von Chromium oder Gecko basieren. Dabei extrahiert der Infostealer gespeicherte Passwörter, Sitzungs-Cookies und Daten aus Formularen zur automatischen Ausfüllung. Die Architektur der Schadsoftware ist so aufgebaut, dass sie die gestohlenen Anmeldedaten zunächst in einer lokalen Protokolldatei speichert. Wird das Programm ohne spezifische Kommandozeilen-Argumente gestartet, gibt es lediglich Hinweise zur korrekten Syntax auf der Konsole aus. Die gesammelten Protokolldaten werden anschließend über das standardisierte HTTP-Protokoll an die externen Server der Angreifer übertragen.

Implikationen für die IT-Governance und das Patch-Management

Die fortlaufende Ausnutzung dieser bekannten Sicherheitslücke unterstricht die Notwendigkeit für ein strukturiertes IT-Sicherheitsmanagement und eine verbindliche IT-Governance in Unternehmen. Ein privatwirtschaftliches Problem im Patch-Management bleibt die Verzögerung bei der Bereitstellung kritischer Sicherheitsupdates auf Systemen, die für den kontinuierlichen Geschäftsbetrieb oder die Aufrechterhaltung von Remote-Arbeitsplätzen über VPN-Infrastrukturen zuständig sind. Administratoren scheuen oft das sofortige Einspielen von Hotfixes, da sie Ausfälle der Konnektivität befürchten. Der Fall der FortiClient-EMS-Schwachstelle im Jahr 2026 zeigt jedoch, dass das Hinauszögern von Updates das IT-Risikomanagement vor unkalkulierbare Bedrohungen stellt.

Sobald eine Schwachstelle in der KEV-Liste der CISA geführt wird, ist die automatisierte Ausnutzung durch kriminelle Akteure ein Massenphänomen. Unternehmen müssen im Rahmen ihrer Governance-Strukturen feste Zeitfenster definieren, in denen kritische Infrastruktur-Komponenten unabhängig von betrieblichen Komfortüberlegungen innerhalb von wenigen Stunden nach Veröffentlichung aktualisiert werden müssen. Zudem sollten ausgehende HTTP-Verbindungen von Endgeräten zu unbekannten IP-Adressen blockiert werden, um die Exfiltration von Logdateien durch Infostealer zu erschweren.