Fortinet: Kritische Sicherheitslücke wird bereits aktiv ausgenutzt

Eine schwerwiegende SQL-Injection-Lücke in Fortinets Endpoint-Management-Server wird jetzt aktiv angegriffen. Tausende Systeme sind gefährdet.

Die Sicherheitslücke mit der Kennung CVE-2026-21643 erlaubt Angreifern ohne Anmeldedaten die Ausführung von beliebigem Code auf betroffenen Systemen. Besonders kritisch: Die Schwachstelle in der FortiClient Endpoint Management Server (EMS)-Software wird bereits seit Tagen in der Praxis ausgenutzt, wie Sicherheitsexperten am 30. März 2026 bestätigten. Unternehmen weltweit sind aufgefordert, sofort zu handeln.

Angesichts der aktuellen Angriffswelle auf kritische Infrastrukturen zeigt dieser Experten-Report, wie mittelständische Unternehmen sich effektiv gegen Cyberkriminelle wappnen können. Erfahren Sie mehr über Strategien zum Schutz Ihrer Systeme ohne Budget-Explosion. Effektive Sicherheits-Strategien im Experten-Report entdecken

Aktive Angriffe auf ungepatchte Systeme

Die Ausnutzung der Lücke ist vergleichsweise einfach. Angreifer können durch speziell manipulierte HTTP-Anfragen schädlichen SQL-Code einschleusen und so die Kontrolle über das System erlangen. Betroffen ist die EMS-Version 7.4.4 im Mehrbenutzermodus.

Laut dem Threat-Intelligence-Unternehmen Defused begannen die Angriffe bereits um den 26. März herum. Fortinet hatte die Schwachstelle zwar bereits am 6. Februar intern entdeckt und eine entsprechende Sicherheitswarnung veröffentlicht, doch der Status "aktiv ausgenutzt" wurde vom Unternehmen bis zum Wochenende nicht öffentlich aktualisiert. Die einzig wirksame Gegenmaßnahme ist ein sofortiges Update auf Version 7.4.5 oder höher.

Hohes Risiko durch weit verbreitete Software

Das Gefahrenpotenzial ist enorm, da FortiClient EMS ein weit verbreitetes Tool zur zentralen Verwaltung von Endpoint-Sicherheitsagenten ist. Ein erfolgreicher Angriff gewährt Zugriff auf hochsensible Daten: Administratoren-Zugänge, Bestandsdaten aller Endgeräte, Sicherheitsrichtlinien und Zertifikate.

Besonders alarmierend ist die große Zahl öffentlich erreichbarer Systeme. Die Internet-Sicherheitsorganisation Shadowserver verzeichnet über 2.000 EMS-Instanzen, deren Web-Oberfläche direkt aus dem Internet erreichbar ist – ein Großteil davon in den USA und Europa. Eine weitere Suchabfrage bei Shodan zeigt fast 1.000 exponierte Systeme. Für Angreifer ist es ein leichtes Spiel, diese ungeschützten Ziele zu finden.

Dringende Handlungsempfehlungen für Unternehmen

Die Lage erfordert sofortiges Handeln. Sicherheitsexperten und Behörden wie das Canadian Centre for Cyber Security und die Cyber Security Agency of Singapore drängen Unternehmen zum umgehenden Einspielen des Patches.

Zusätzlich zum Update sollten Administratoren ihre Logdateien überprüfen. Verdächtige SQL-Befehle im 'Site'-Header von HTTP-Anfragen können auf Angriffsversuche hindeuten. Langfristig empfehlen Experten eine Zero-Trust-Architektur: Kritische Management-Server wie der FortiClient EMS sollten nicht direkt dem Internet ausgesetzt, sondern hinter gesicherten Zugangsgateways platziert werden.

Während technisches Patch-Management unerlässlich ist, müssen Geschäftsführer auch die neuen gesetzlichen Rahmenbedingungen zur IT-Sicherheit im Blick behalten. Dieser kostenlose Leitfaden fasst zusammen, was Unternehmen 2024 über Cyber Security und KI-Regulierung wissen müssen. Kostenlosen Cyber-Security-Leitfaden für 2024 sichern

Teil eines besorgniserregenden Trends

Für Fortinet ist dies kein Einzelfall. Das Unternehmen mit über 900.000 Kunden weltweit steht seit langem im Fokus von Cyberkriminellen. Die US-Cybersicherheitsbehörde CISA listet aktuell 24 aktiv ausgenutzte Schwachstellen bei Fortinet, davon 13 im Zusammenhang mit Ransomware-Angriffen.

Erst Anfang März 2026 hatte Fortinet Patches für mehrere kritische Lücken in anderen Produkten wie FortiSwitch, FortiWeb und FortiClientLinux bereitgestellt. Die aktuelle Welle der Ausnutzung zeigt jedoch erneut die Dringlichkeit eines robusten und schnellen Patch-Managements. Die Vertrautheit der Angreifer mit Fortinet-Produkten macht sie zu einem wiederkehrenden Ziel.

Die Situation unterstreicht eine grundlegende Wahrheit der Cybersicherheit: Die Veröffentlichung eines Patches ist nur der erste Schritt. Entscheidend ist die zeitnahe Installation durch die Anwender – bevor Angreifer das Zeitfenster für ihre Attacken nutzen können.

boerse | 69035990 |