Patch nu: Hackers omzeilen beveiliging FortiClient EMS

De kwetsbaarheid, geregistreerd als CVE-2026-35616, heeft een zeldzaam hoge ernst-score van 9.1 (op een schaal van 10). Het betreft een zogenaamde Authentication Bypass, waarbij aanvallers de API-beveiliging van de software volledig kunnen omzeilen.

Wat is het risico?

De FortiClient EMS-server is een centraal punt in veel bedrijfsnetwerken; het beheert de beveiliging van alle aangesloten laptops, telefoons en servers (endpoints). Door dit systeem over te nemen, kunnen hackers:

• Malware of ransomware installeren op alle beheerde apparaten binnen de organisatie.

  
  

• Gevoelige gegevens stelen door toegang te krijgen tot de database van het netwerk.

• Privileges escaleren, waardoor ze volledige controle krijgen over de IT-infrastructuur.

Ontdekking en oplossing

Het lek werd ontdekt door beveiligingsonderzoekers Simo Kohonen (Defused) en Nguyen Duc Anh. Zij merkten op dat aanvallers speciaal geprepareerde verzoeken (requests) naar de API van FortiClient stuurden om toegang te forceren.

Fortinet heeft inmiddels een hotfix uitgebracht om het gat te dichten. Een definitieve software-update (versie 7.4.7) is in de maak, maar de fabrikant dringt er bij klanten op aan om niet te wachten en de tijdelijke patch onmiddellijk te installeren.

Getroffen versies:

• FortiClientEMS 7.4.5
• FortiClientEMS 7.4.6

Gebruikers van de oudere 7.2-lijn lijken vooralsnog veilig; volgens Fortinet is deze versie niet gevoelig voor de specifieke aanvalsmethode.

Wat moeten beheerders doen?

Systeembeheerders wordt geadviseerd om direct de release-notes van Fortinet te raadplegen en de beschikbare hotfixes toe te passen. Daarnaast raden experts aan om de toegang tot de EMS-beheerinterface te beperken tot vertrouwde interne netwerken en niet direct bloot te stellen aan het openbare internet