Zum Inhalt springen

FortiBleed: Angriffskampagne gegen zahlreiche Fortinet-Firewalls/-VPN

Beobachtungen

Mitte Juni 2026 wurden Zugangsdaten für zahlreiche Fortinet „FortiGate“ Firewalls und VPN-Gateways geleaked. Dies betrifft sowohl administrative als auch VPN-Zugänge. Berichten zufolge sind weltweit über 70.000 Geräte betroffen. Darunter sind unter anderem Zugangsdaten, welche bei namhaften Unternehmen in Deutschland zum Einsatz kommen. Angreifer können mit diesen unter Umständen Zugang zu Unternehmensnetzwerken erlangen.

Methoden

Wie genau die Angreifer an die Daten gelangt sind, ist nicht abschließend geklärt. Vermutungen des Herstellers zufolge handelt es sich um eine Zusammenstellung von Daten unter Ausnutzung älterer Schwachstellen. Mittels Brute Force sollen so zum Beispiel Zugangsdaten aus zuvor abgefangenen Passwort-Hashes rekonstruiert („gecrackt“) worden sein. Die Ausnutzung unbekannter Sicherheitslücken ist nicht auszuschließen.

Attribution

Eine gesicherte Zuordnung der Kampagne zu einem Akteur ist mit dem derzeitigen Kenntnisstand nicht möglich. Laut Hudson Rock und SOCRadar deuten Indizien auf eine russischsprachige Gruppierung hin.

Empfehlungen

Wir raten an FortiGate Firewalls und VPN-Gateways auf verdächtige Zugriffe über administrative und VPN-Zugänge zu prüfen, veraltete Geräte-Firmware auf den aktuellen Stand zu bringen sowie die Zugangsdaten zu ändern. 

Mittels Firmware-Aktualisierung hatte Fortinet das Hashing administrativer Passwörter bereits Anfang 2025 ausgebessert. Wir empfehlen unbekannte sowie ungenutzte Zugänge zu den Systemen zu entfernen, den Zugang zu Management-Interfaces aus dem offenen Internet zu sperren und Multi-Faktor-Authentifizierung (MFA) für administrative und externe Zugänge zu nutzen.