Zum Inhalt springen
Technik und Wissenschaft
Diskrepanzen bei den Opferzahlen: Von 30.000 bis 75.000 Geräten

FortiBleed: Administrator-Passwörter bei 75.000 Fortinet-Firewalls geknackt

Von Veröffentlicht am Lesedauer: 4 Minuten
von

Sicherheitsforscher deckten am 17. Juni 2026 eine massive Kampagne namens „FortiBleed“ auf, bei der Administrator-Passwörter von bis zu 75.000 Fortinet-Firewalls weltweit kompromittiert wurden. Die Angreifer nutzten eine Kombination aus Credential-Stuffing, Brute-Force-Attacken und dem Abgreifen von SSL-VPN-Daten, um Zugriff auf kritische Infrastrukturen in 194 Ländern zu erlangen.

Die Lage ist ernst. In der IT-Sicherheitsszene wird die Situation derzeit so beschrieben, dass „die Hütte brennt“, da die Angreifer nahezu uneingeschränkten Zugriff auf die betroffenen Instanzen haben, laut dem Borns IT- und Windows-Blog. Betroffen sind nicht nur kleine Unternehmen, sondern globale Schwergewichte und staatliche Institutionen.

Diskrepanzen bei den Opferzahlen: Von 30.000 bis 75.000 Geräten

Diskrepanzen bei den Opferzahlen: Von 30.000 bis 75.000 Geräten
Die genaue Anzahl der kompromittierten Systeme variiert je nach Quelle, was die Dynamik dieser laufenden Kampagne unterstreicht. Während SOCRadar eine Datenbank mit 30.791 bestätigten, funktionierenden Zugangsdaten identifizierte, berichten andere Forscher von einer deutlich größeren Reichweite. Die Analyse von Hudson Rock, die auf Daten des Sicherheitsforschers Bob Diachenko basiert, kommt auf 73.932 eindeutige Firewall-URLs und 21.632 betroffene Domains, wie BleepingComputer berichtet. Diese Differenz deutet darauf hin, dass die Angreifer eine riesige Liste von potenziellen Zielen führen, von denen ein erheblicher Teil bereits erfolgreich validiert wurde. Besonders kritisch: Viele dieser Geräte sind nach wie vor online und damit weiterhin exponiert. Die Angreifer haben detaillierte Protokolle über erfolgreiche Kompromittierungen geführt und die Daten mit Metadaten wie Branche, Umsatz und Mitarbeiterzahl der betroffenen Unternehmen ergänzt, um gezielte Folgeangriffe zu planen.

Die „selbstfütternde“ Angriffskette und GPU-Cracking

Die „selbstfütternde“ Angriffskette und GPU-Cracking
Photo: itknowledgebases.com
FortiBleed ist kein klassischer Zero-Day-Angriff, sondern ein hochautomatisierter Prozess. Die Angreifer nutzen einen Kreislauf, der ohne menschliches Eingreifen funktioniert. Zuerst werden Listen mit bereits geleakten Passwörtern gegen internetseitig erreichbare Fortinet-Geräte (meist über Port 443) getestet.
  • Schritt 1: Automatisierter Scan nach exponierten Fortinet-SSL-VPN-Schnittstellen.
  • Schritt 2: Test von Milliarden geleakter Passwörter (Credential Stuffing).
  • Schritt 3: Überwachung des Netzwerkverkehrs auf bereits kompromittierten Geräten.
  • Schritt 4: Extraktion neuer, frischer Zugangsdaten aus dem Live-Traffic, die sofort wieder in den Scanner fließen.
Wenn einfache Passwörter nicht ausreichen, eskaliert die Gruppe. Laut Bob Diachenko fingen die Akteure SSL-VPN-Authentifizierungs-Hashes ab und knackten diese offline mithilfe eines 45-GPU-Clusters, das über Hashtopolis verwaltet wurde. Die schiere Masse der Versuche ist beispiellos: Diachenko berichtet von etwa 1,16 Milliarden Anmeldeversuchen gegen 320.777 FortiGate-Ziele und weiteren 2,1 Milliarden Versuchen gegen Microsoft SQL Server-Systeme. „Massive Fortinet/FortiGate bruteforce/active exploitation campaign uncovered in action,“ Bob Diachenko, Sicherheitsforscher, via BleepingComputer

Strategische Ziele: Von Fortune-500-Firmen bis zur NATO

Strategische Ziele: Von Fortune-500-Firmen bis zur NATO
Photo: secure.com
Die Liste der Opfer liest sich wie ein globales Firmenverzeichnis. Zu den identifizierten Domains gehören Unternehmen wie Oracle, Chevron, Lenovo, Federal Express, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Siemens, PwC und Accenture. Sogar Fortinet selbst ist in den Listen aufgetaucht. Die geografische Verteilung zeigt eine starke Konzentration in Indien und den USA, die zusammen fast ein Drittel der gestohlenen Einträge ausmachen. Darüber hinaus wurden Organisationen in Japan, Taiwan, Vietnam, Irak und der Türkei vollständig kompromittiert. Ein besonders alarmierendes Detail: Ein türkischer Rüstungszulieferer der NATO wurde angegriffen, wobei Berichten zufolge geheime Dokumente gestohlen wurden. Aufgrund der Tooling-Struktur und des Fokus auf NATO-nahe Staaten vermuten sowohl SOCRadar als auch Diachenko russischsprachige Operatoren hinter der Kampagne. Die Kombination aus industrieller Spionage und dem Zugriff auf Verteidigungsnetzwerke deutet darauf hin, dass die Ziele weit über finanziellen Gewinn hinausgehen.

Abgrenzung: FortiBleed ist kein CVE

Abgrenzung: FortiBleed ist kein CVE
Photo: bleepingcomputer.com
Es ist wichtig, FortiBleed technisch korrekt einzuordnen. Wie ITKnowledgeBases klarstellt, handelt es sich bei FortiBleed nicht um eine einzelne, spezifische Schwachstelle (CVE) oder einen Zero-Day-Exploit von Fortinet. Es ist eine groß angelegte Validierungskampagne für gestohlene Zugangsdaten. Dennoch nutzen die Angreifer parallel dazu reale Sicherheitslücken in anderen Fortinet-Produkten, um ihre Präsenz zu festigen. Kudelski Security weist auf die aktive Ausnutzung folgender Lücken hin:
Produkt CVE Typ der Schwachstelle
FortiSandbox CVE-2026-39808 Command Injection
FortiSandbox CVE-2026-39813 Authentication Bypass
FortiSandbox CVE-2026-25089 Remote Command Execution
FortiClient EMS CVE-2026-35616 Improper Access Control
FortiClient EMS CVE-2026-21643 SQL Injection
Während FortiBleed primär auf schwachen oder alten Passwörtern basiert, dienen diese CVEs als zusätzliche Eintrittspforten oder Werkzeuge für die laterale Bewegung innerhalb eines Netzwerks, insbesondere in Richtung Active Directory-Umgebungen.

Reaktion und notwendige Gegenmaßnahmen

Die Gefahr resultiert hier aus einer banalen Ursache: Viele Unternehmen nutzen Standard-Admin-Konten oder haben Passwörter seit Jahren nicht rotiert. Da die Management-Interfaces oft direkt aus dem Internet erreichbar sind, wird die Firewall vom Schutzwall zum Einfallstor. Sicherheitsexperten raten dringend zu folgenden Schritten:
  • Sofortige Passwortrotation: Alle Administrator- und VPN-Passwörter müssen geändert werden.
  • Einführung von MFA: Multi-Faktor-Authentifizierung ist für alle Fernzugriffs- und Admin-Konten zwingend erforderlich.
  • Netzwerk-Isolierung: Management-Interfaces dürfen nicht öffentlich über das Internet erreichbar sein.
  • Log-Analyse: Überprüfung der Anmeldehistorie auf ungewöhnliche Muster, da ein bloßes Passwort-Update den Angreifer eventuell nicht mehr aus dem System entfernt, wenn dieser bereits Persistenz geschaffen hat.
Die Entdeckung der Kampagne gelang Diachenko nur durch einen Fehler der Angreifer. „They accidentally left an open directory with artefacts, connection strings, tooling, scripts and data online. Analytics obtained via their cron jobs, bash histories, logs etc,“ Bob Diachenko, Sicherheitsforscher, via BleepingComputer Dieser Zufall hat die Dimensionen von FortiBleed offengelegt, doch er zeigt auch, wie lange solche Operationen im Verborgenen ablaufen können, solange sie keine disruptiven Effekte wie Ransomware auslösen, sondern auf lautlose Spionage setzen.

Find more reporting in our Technik und Wissenschaft section.

Teilen Facebook X WhatsApp E-Mail
Clara Vogt

Über den Autor

Clara Vogt verantwortet das Ressort Technik und Wissenschaft. Sie schreibt ueber KI, Digitalisierung, Forschung und Innovation und uebersetzt komplexe Entwicklungen in klaren, belastbaren Journalismus.

Alle Beiträge erscheinen nach redaktioneller Prüfung gemäß unseren Redaktionsrichtlinien.

Weitere Nachrichten aus Technik und Wissenschaft

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

Germanic.news

Germanic.news bietet aktuelle Nachrichten, Analysen und Einordnung aus Deutschland, Europa und der Welt.

Germanic.news steht für klare Nachrichten, transparente Quellenarbeit und nachvollziehbare Korrekturen.

Ressorts

Redaktion

Rechtliches