FortiClient EMS: Kritische Sicherheitslücke gefährdet Unternehmensdaten

Eine schwere SQL-Injektion in der Verwaltungssoftware erlaubt Angreifern unbegrenzten Zugriff – ohne Passwort. Die Schwachstelle betrifft die Multi-Tenant-Version 7.4.4 des weit verbreiteten Endpoint-Management-Servers von Fortinet. Der Hersteller hat bereits ein Update bereitgestellt.

Während kritische Sicherheitslücken wie bei Fortinet Administratoren unter Druck setzen, sind viele Betriebe generell unzureichend auf digitale Angriffe vorbereitet. Dieser Experten-Report enthüllt effektive Strategien, wie mittelständische Unternehmen sich gegen Cyberkriminelle wappnen können, ohne dass die Budgets explodieren. Effektive IT-Sicherheitsstrategien jetzt kostenlos entdecken

Unbefugter Vollzugriff auf die Datenbank

Cybersicherheitsforscher haben eine kritische Sicherheitslücke im FortiClient Endpoint Management Server (EMS) analysiert. Die als CVE-2026-21643 identifizierte Schwachstelle hat den hohen CVSS-Schweregrad von 9,1. Sie ermöglicht es einem entfernten Angreifer, beliebige SQL-Befehle auf dem System auszuführen – und das ohne jegliche Authentifizierung. Betroffen ist ausschließlich Version 7.4.4 mit aktivierter Multi-Tenant-Funktion.

Die Lücke entstand durch einen Fehler bei einer Code-Überarbeitung. Das System verarbeitet einen bestimmten HTTP-Header, der für die Unterscheidung von Mandantenumgebungen zuständig ist, nicht korrekt. Ein Angreifer kann hier schädlichen SQL-Code einschleusen, der dann ungefiltert an die PostgreSQL-Datenbank weitergeleitet wird. Ein einziger speziell präparierter Webaufruf genügt für die Ausnutzung.

Warum diese Lücke so gefährlich ist

Das Besondere und Brisante an diesem Fehler: Er wirkt vor der Authentifizierung. Ein Angreifer benötigt weder Benutzername noch Passwort. Ein erfolgreicher Angriff führt zur vollständigen Kompromittierung des EMS-Servers. Das ist fatal, denn dieser Server dient als zentrale Steuerungsinstanz für die Endpoint-Sicherheit eines gesamten Unternehmens.

Was könnten Angreifer konkret tun? Sie haben Zugriff auf administrative Anmeldedaten, können die komplette Inventarliste aller verwalteten Geräte einsehen, Sicherheitsrichtlinien auslesen und Zertifikate für verwaltete Geräte stehlen. Diese Informationen sind der Schlüssel, um Daten zu exfiltrieren, Malware im gesamten Netzwerk zu verteilen oder als Sprungbrett für weitere Angriffe in die Unternehmens-IT zu dienen.

Solche hochgefährlichen Schwachstellen zeigen, warum 73% der deutschen Unternehmen nicht ausreichend auf Cyberangriffe vorbereitet sind und teure Konsequenzen riskieren. Wie Sie die IT-Sicherheit in Ihrem Unternehmen proaktiv stärken und sich vor kostspieligen Angriffen schützen, erfahren Sie in diesem kostenlosen E-Book. Kostenloses E-Book: Cyber Security Trends herunterladen

Dringende Handlungsempfehlung für Administratoren

Fortinet hat auf den intern entdeckten Fehler reagiert und mit Version 7.4.5 ein Patch-Update veröffentlicht. Dieses bereinigt die Eingaben aus dem betroffenen HTTP-Header korrekt. Die dringende Empfehlung lautet: Betroffene Systeme umgehend aktualisieren.

Für Unternehmen, die das Update nicht sofort einspielen können, gibt es Workarounds. Die Multi-Tenant-Funktion kann deaktiviert oder der Zugriff auf die EMS-Administrationsoberfläche über Firewalls strikt eingeschränkt werden. Sicherheitsteams sollten zudem die Apache-Zugriffsprotokolge auf ungewöhnliche Aktivitäten überwachen, etwa lange Antwortzeiten oder Fehler bei bestimmten API-Endpunkten.

Ein Weckruf für die IT-Sicherheit

Der Fall zeigt erneut, wie riskant selbst routinemäßige Software-Updates sein können. Bei weit verbreiteten Enterprise-Produkten wie denen von Fortinet – vergleichbar mit deutschen Größen wie SAP in ihrer Marktdurchdringung – zieht eine Schwachstelle im Management-System besonders weite Kreise. Sie bietet einen einzelnen Angriffspunkt, von dem aus eine ganze Flotte von Endgeräten übernommen werden kann.

Mit der jetzt erfolgten öffentlichen Detailanalyse gehen Experten davon aus, dass Angreifer aktiv nach verwundbaren Servern suchen. Die Zeit zum Handeln ist jetzt.

boerse | 68948350 |