Ihr Endpoint-Manager hat gerade Malware auf jedes verwaltete Gerät ausgeliefert.

Ihr Endpoint-Manager hat gerade Malware auf jedes verwaltete Gerät ausgeliefert.

Das ist keine Hypothese. Es ist diese Woche passiert.

CVE-2026-35616 ist ein Pre-Authentication-API-Bypass im FortiClient Endpoint Management Server (EMS). CVSS 9.1. Aktiv ausgenutzt.

So läuft der Angriff ab: Der Angreifer authentifiziert sich ohne Zugangsdaten am EMS, übernimmt die Verwaltungsebene und sendet einen PowerShell-Befehl gleichzeitig an alle verwalteten Endgeräte. Die Nutzlast – der EKZ-Infostealer – kommt als legitimes Fortinet-Firmware-Update getarnt an. Endgeräte führen ihn ohne Rückfrage aus, weil er vom System kommt, dem sie vertrauen.

EKZ stiehlt Chrome- und Firefox-Zugangsdaten (inklusive Bypass für verschlüsselte Passwörter), Kreditkartendaten, Session-Cookies, die MFA umgehen, sowie Telefonnummern. Alles landet verschlüsselt bei Command-and-Control-Servern in der Ukraine.

Fortinet hat am 28. Mai einen Patch veröffentlicht. Die aktive Ausnutzung begann am 30. Mai – zwei Tage nach der Offenlegung. Das Zeitfenster zwischen Patch und Exploit-Einsatz schrumpft weiter.

Wenn Sie FortiClient EMS betreiben: Prüfen Sie jetzt die Version. Aktualisieren Sie auf 7.4.5 oder neuer. Suchen Sie in den EMS-Logs nach API-Zugriffen ohne Authentifizierung zwischen dem 28. und 31. Mai. Behandeln Sie alle verwalteten Endgeräte als potenziell kompromittiert, bis Sie Sicherheit haben.

Die eigentliche Warnung hier ist nicht dieser eine CVE. Es ist die Angriffskette: Ein kompromittiertes Verwaltungssystem ist ein Multiplikator. Was immer es ausliefert, landet auf allen Geräten gleichzeitig.