Die Lehren aus „FortiBleed“

Massiver Zugangsdaten-Leak gefährdet globale Enterprise-Infrastrukturen. Organisationen müssen jetzt handeln. Im Beitrag erfahren Sie, was Sie konkret tun können.

Bild: Getty Images / Credits: Koto_feja

Am 13. Juni 2026 deckte der Sicherheitsforscher Bob Diachenko einen offen zugänglichen Server auf, der viele noch gültige Benutzernamen, E-Mail-Adressen und Passwörter im Klartext enthielt. Die Authentifizierungsdaten stammen aus über 21.000 eindeutigen Domains und betreffen multinationale Konzerne sowie staatliche Organisationen in 194 Ländern. Angesichts der Dimension gaben die US-amerikanische CISA und das britische NCSC schon wenige Tage später dringende Sicherheitswarnungen heraus.

Die als „FortiBleed“ bekannt gewordene Kampagne basiert nicht auf einer einzelnen Schwachstelle (CVE). Analysten zufolge resultiert die Kompromittierung aus einer systematischen Kombination aus ungeschützten Verwaltungsschnittstellen, automatisierten Brute-Force-Angriffen, dem Auslesen von Konfigurationsdateien sowie nachgelagertem Hash-Cracking. Neuere Untersuchungen ergaben, dass neben Fortinet auch weitere Hersteller betroffen sind.

Der Fall „FortiBleed“ verdeutlicht, dass die Kompromittierung von Enterprise-Infrastrukturen oft nicht auf komplexen Zero-Day-Exploits beruht, sondern auf unzureichend gehärteten Konfigurationen und fehlenden Barrieren im Identity-Bereich.

Bereits am 2. Juni 2026 registrierte der Sicherheitsdienstleister Sophos erste Anzeichen eines potenziellen Angriffsszenarios, als unautorisierte Exporte von Fortinet-FortiGate-Konfigurationsdateien an externe IP-Adressen blockiert wurden.

Untersuchungen von Sophos ergaben, “dass es keine Hinweise darauf gibt, dass eine Schwachstelle in Sophos-Geräten ausgenutzt wurde, und dass die beobachtete Aktivität eher auf opportunistische, auf Anmeldedaten basierende Versuche hindeutet als auf einen gezielten Angriff auf die Sophos Firewall. Eine Kompromittierung war lediglich in den Fällen in begrenztem Umfang festzustellen, in denen VPN-Portale oder Secure Shell (SSH) ohne aktivierte MFA dem Internet ausgesetzt waren.” Der Hersteller informierte alle betroffenen Kunden.

Auswirkungen für Unternehmen

Verfügen Angreifer über gültige administrative Anmeldedaten für Perimeter-Sicherheitsgeräte, hebelt dies die klassische Netzwerkabwehr nahezu vollständig aus. Die Konsequenzen im Überblick:

Umgehung von Sicherheitskontrollen: Angreifer melden sich regulär an Gateways an, verändern Firewall-Regeln oder VPN-Konfigurationen und richten verdeckte Persistenzen ein.
Infiltration interner Systeme: Perimeter-Systeme dienen als direkter Hebel, um auf interne Authentifizierungsdienste (wie Active Directory, LDAP oder RADIUS) zuzugreifen.
Laterale Bewegung: Das kompromittierte Gerät fungiert als idealer Sprungbretthost (Pivot Point), um das gesamte verbleibende Unternehmensnetzwerk zu durchdringen.

Der herstellerübergreifende Härtungs-Blueprint

Unternehmen müssen unmittelbar reagieren und ihre Infrastruktur abriegeln. Sophos empfiehlt die folgenden Sofortmaßnahmen:

Expositionsprüfung: Abgleich der eigenen Domänen über Werkzeuge wie das FortiBleed-Tool von Hudson Rock oder den Checker von SOCRadar, um eine potenzielle Kompromittierung zu prüfen.
Inventarisierung: Erfassung aller aktiven Edge-Appliances und Identifikation internetexponierter Admin- oder VPN-Schnittstellen.
Sitzungsabbruch und Credential-Rotation: Sofortige Beendigung aller aktiven SSL-VPN- und Administrationssitzungen. Umgehender Reset aller lokalen Admin-, VPN-, API- und Dienstkonten sowie der verknüpften Secrets für LDAP, RADIUS und TACACS+.
Flächendeckendes MFA-Mandat: Aktivierung einer (idealerweise Phishing-resistenten) Multi-Faktor-Authentifizierung für sämtliche Zugänge. Ein-Faktor-Authentisierung über einfache Passwörter ist an Internet-Schnittstellen nicht mehr tragbar.
Telemetrie-Integration: Anbindung der Edge-Geräte an zentrale NDR/XDR-Systeme, um Anomalien wie unübliche Konfigurations-Downloads frühzeitig zu erkennen.

Spezifischer Leitfaden für Fortinet-Systeme

Verwaltungsschnittstellen blockieren: Der administrative Zugriff (HTTPS, SSH) über das öffentliche Internet muss konsequent unterbunden werden (config system interface -> unset allowaccess). Management-Sitzungen dürfen nur über vertrauenswürdige interne Netze, dedizierte Jump-Hosts oder Management-VPNs erfolgen.
Trusted Hosts & Local-in-Policies: Einschränkung der erlaubten IP-Adressen im System auf Administratoren-Ebene. Nutzung von Local-in-Policies auf CLI-Ebene zur Filterung des eingehenden Kontrollverkehrs.
Absicherung der Passwörter: Durchsetzung strenger Passwortrichtlinien und Einrichtung von Lockout-Schwellenwerten bei Fehlversuchen (admin-lockout-threshold). Umstellung der internen Speicherung von Admin-Credentials auf moderne Verfahren wie PBKDF2.

Spezifischer Leitfaden für Cisco-Systeme (Firepower / NGFW / ASA)

Objektorientierte Richtlinien: Verzicht auf das statische Hardcodieren von IP-Adressen in Access Control Lists (ACLs) innerhalb des Firewall Management Centers (FMC). Stattdessen Abstraktion über wiederverwendbare Netzwerk-Objektgruppen, um Konfigurationsfehler zu minimieren.
Einschränkung des Betriebssystem-Zugriffs: Der direkte Zugriff auf die zugrundeliegende Linux-Shell und das FXOS-Betriebssystem muss strikt limitiert werden, da Shell-Benutzer potenziell Root-Rechte erlangen können.
Härtung von Management-Protokollen: Deaktivierung veralteter Versionen und REST-APIs, sofern nicht zwingend benötigt. SNMP-Abfragen dürfen ausschließlich über SNMPv3 mit starker Authentifizierung (SHA-256 oder höher) und Verschlüsselung (AES-128/256) realisiert werden. Zudem sind strikte Sitzungs-Timeouts für Admin-Umfelder zu erzwingen.

Spezifischer Leitfaden für Palo Alto Networks (PAN-OS)

Isolierung des Management-Ports (MGT): Die Verwaltungsschnittstelle darf unter keinen Umständen direkt an das Internet angebunden werden (Konformität mit CISA-Richtlinien und PAN-SA-2024-0015). Erlaubt sind ausschließlich verschlüsselte Protokolle (HTTPS, SSH) über streng definierte, zugelassene IP-Adressen („Permitted IP Addresses“).
Mehrstufige Authentifizierungsketten: Implementierung von Architekturen, die eine zweifache Authentisierung verlangen – primär am vorgelagerten Bastion-Host und sekundär direkt an der Firewall-Schnittstelle.
Rollenbasierte Zugriffskontrolle (RBAC): Eliminierung generischer Standard-Admin-Konten. Jeder Administrator benötigt einen personalisierten Zugang, um Konfigurationsänderungen im Audit-Log (Monitor > Logs > Configuration) lückenlos nachzuverfolgen. Berechtigungen müssen granular über restriktive Admin-Rollenprofile (Least Privilege) gesteuert werden, um etwa den Export kritischer Systemdaten durch nicht-privilegierte Teams zu verhindern.

Einen spezifischen Leitfaden für Sophos gibt es von der Sophos-Community.

Fazit

Unternehmen müssen Netzwerk-Appliances als hochkritische Vermögenswerte behandeln. Ein dauerhafter Schutz lässt sich im heutigen Bedrohungsumfeld nur durch moderne Sicherheitsarchitekturen (SASE, Zero Trust, Microsegmentierung, NDR/XDR, etc.), die Abschottung von Management-Schnittstellen vom öffentlichen Internet sowie bedingungslose Härtungsstandards gewährleisten.