FortiBleed: Geleakte Admin-Zugangsdaten von fast 74.000 Fortinet-Firewalls weltweit
FortiBleed macht deutlich, warum Credential-Management, MFA und abgesicherte Management-Zugänge für CIOs zur Pflicht gehören.
Eine kürzlich entdeckte Datensammlung namens „FortiBleed“ enthält nach Angaben mehrerer Sicherheitsforscher Nutzer- und Administratorzugangsdaten für 73.932 Fortinet-Firewall- beziehungsweise FortiGate-Instanzen in 194 Ländern. Damit wäre nach Einschätzung von Forschern ein erheblicher Teil der weltweit direkt aus dem Internet erreichbaren Fortinet-Systeme betroffen; einzelne Analysen sprechen von etwa der Hälfte der über Shodan sichtbaren FortiGate-Flotte.
Viele der Zugangsdaten sollen weiterhin funktionieren. Für betroffene Unternehmen bedeutet das, dass Angreifer unter Umständen bereits mit legitimen Zugangsdaten in Unternehmensnetzen agieren konnten. Die Daten betreffen Organisationen aus zahlreichen Branchen, darunter große Unternehmen wie Mercedes-Benz, Siemens, Oracle und Samsung sowie öffentliche Stellen.
Aufgedeckt wurde der Fund von Sicherheitsforscher Volodymyr „Bob“ Diachenko, der nach eigenen Angaben auf einen offen erreichbaren Server einer Angreifergruppe stieß. Die bisher bekannten Informationen deuten auf eine laufende, hochautomatisierte Kampagne hin, die nicht primär eine neue Schwachstelle ausnutzt, sondern auf kompromittierte Zugangsdaten, schwache Passworthygiene und unzureichend abgesicherte Management- und VPN-Schnittstellen setzt.
Angriffsmethode und Ursachen
Die Verantwortlichen hinter FortiBleed arbeiten laut Analysen von SOCRadar, Hudson Rock und weiteren Forschern mit automatisierten Massenscans, groß angelegten Credential-Tests und spezialisierter Infrastruktur zum Knacken von Passworthashes. Zunächst identifizieren sie internetexponierte Fortinet-Firewalls, deren Management- oder SSL-VPN-Schnittstellen aus dem Netz erreichbar sind. Anschließend testen sie systematisch bereits bekannte Logins gegen diese Geräte – darunter Zugangsdaten aus früheren Fortinet-Vorfällen, aus allgemeinen Leak-Sammlungen oder aus Infostealer-Malware.
Diachenko zufolge wurden dabei rund 1,16 Milliarden Credential-Versuche gegen mehr als 320.000 FortiGate-Ziele registriert. Ergänzend sollen die Angreifer Authentifizierungs-Hashes aus aktiven SSL-VPN-Sitzungen abgefangen und offline mit GPU-Clustern geknackt haben, unter anderem mithilfe des Frameworks Hashtopolis.
Dadurch konnten auch lange und komplexe Passwörter kompromittiert werden, wenn sie in älteren, schneller berechenbaren Hash-Formaten vorlagen. Technisch relevant ist dabei, dass Fortinet für Administrator-Passwörter ab FortiOS 7.2.11, 7.4.8 und 7.6.1 auf das langsamere und widerstandsfähigere PBKDF2-Verfahren umgestellt hat.
Nach Fortinet-Dokumentation bleiben bestehende Administrator-Passwörter nach einem Upgrade jedoch zunächst im alten SHA-256-Format gespeichert, bis sich der jeweilige Administrator erfolgreich anmeldet oder das Passwort neu gesetzt wird. Dieses Migrationsdetail kann dazu geführt haben, dass auch aktualisierte Systeme weiterhin verwundbare Alt-Hashes enthielten. Besonders gefährdet sind daher Geräte, auf denen Passwörter über längere Zeit nicht geändert wurden, Administratoren nach Updates nicht erneut angemeldet wurden oder alte administrative Konten aktiv blieben.
Der FortiBleed-Angriff folgt damit einer einfachen, aber wirksamen Strategie aus Credential Reuse, also der missbräuchlichen Wiederverwendung bekannter oder abgegriffener Zugangsdaten, statt dem nachweisbaren Einsatz einer neuen Zero-Day-Schwachstelle. Eine konkrete neue Fortinet-Sicherheitslücke ist bislang nicht belegt. Zugleich bleibt offen, wie die Angreifer ursprünglich in den Besitz einzelner Konfigurationsdaten und Hashes gelangten. Mehrere Forscher gehen davon aus, dass die Kampagne auf Daten aus früheren Kompromittierungen, Infostealer-Logs und systematischem Credential Harvesting aufbaut. Damit ist FortiBleed weniger als klassischer Software-Exploit zu verstehen, sondern als global skalierte Ausnutzung unzureichender Passwortverwaltung und unzureichend gehärteter internetexponierter Systeme.
Fortinet-Reaktion und behördliche Hinweise
Fortinet erklärte gegenüber Medien, man sei sich einer gemeldeten Credential-Harvesting-Kampagne gegen Fortinet-Firewalls und VPN-Gateways bewusst. Nach Unternehmensangaben handele es sich bei den Daten um eine Zusammenführung älterer Vorfälle sowie um per Brute Force ermittelte Zugangsdaten; ein Zusammenhang mit einem aktuellen Fortinet-Advisory oder einer neuen Schwachstelle werde nicht gesehen. Unabhängige Forscher bewerten Teile des Datensatzes jedoch anders. Kevin Beaumont bestätigte nach eigener Prüfung die Echtheit einzelner Administrator-Logins und verwies darauf, dass viele betroffene Geräte weiterhin online seien und sich der Datensatz deutlich von früheren Leaks unterscheide.
Auch SOCRadar und Hudson Rock ordnen die Kampagne als groß angelegtes, laufendes Credential-Harvesting gegen FortiGate- und SSL-VPN-Systeme ein. SOCRadar hat einen Checker veröffentlicht, mit dem sich prüfen lässt, ob eigene Instanzen betroffen sind.
Deutsche Sicherheitsbehörden haben bislang keine separate FortiBleed-Warnung veröffentlicht; gleichwohl werden Fortinet-Produkte seit Jahren regelmäßig in behördlichen Schwachstellenhinweisen und internationalen KEV-Listen beobachtet.
Für CIOs ergibt sich daraus ein klarer Maßnahmenkatalog: alle VPN- und Administrator-Passwörter umgehend rotieren, FortiOS auf unterstützte aktuelle Versionen bringen, Administratoren nach dem Upgrade erneut anmelden beziehungsweise Passwörter neu setzen, um PBKDF2-Hashes zu erzwingen, Multi-Faktor-Authentifizierung konsequent aktivieren, Management-Schnittstellen aus dem Internet entfernen oder stark beschränken und Logs auf ungewöhnliche Anmeldungen, neue Administrator-Konten sowie Hinweise auf laterale Bewegung prüfen.
Risiken und Einordnung
Im Vergleich zu früheren Fortinet-Vorfällen – etwa dem Leak von rund 500.000 FortiGate-VPN-Zugangsdaten im Jahr 2021 oder den etwa 15.000 Gerätedumps des „Belsen“-Hackerkollektivs Anfang 2025 – steht bei FortiBleed nicht eine einzelne bekannte Schwachstelle im Mittelpunkt.
Die Kampagne zeigt vielmehr, wie fehlendes Passwort-, Patch- und Expositionsmanagement in Unternehmen industriell ausgenutzt werden kann. Besonders kritisch ist die Rolle von Perimetersystemen: Wird eine FortiGate-Firewall mit gültigen Administrator-Zugangsdaten übernommen, kann sie als Ausgangspunkt für weitere Angriffe dienen. Nach Forscherangaben nutzten Angreifer kompromittierte Systeme teils als „Listening Post“, um vorbeilaufenden Verkehr nach weiteren Zugangsdaten zu durchsuchen und diese wieder in die eigene Angriffsinfrastruktur einzuspeisen.
Damit kann aus einem einzelnen kompromittierten Zugang ein selbstverstärkender Angriffspfad entstehen, der Active-Directory-, RADIUS- oder VPN-Zugangsdaten erfasst und laterale Bewegung ermöglicht. Reine Passwortwechsel können zu spät kommen, wenn Angreifer bereits persistenten Zugriff aufgebaut, neue Konten angelegt oder interne Systeme kompromittiert haben. Diachenko berichtete zudem von vollständigen Netzwerkkompromittierungen in mehreren Ländern, darunter der mutmaßliche Abfluss vertraulicher Dokumente bei einem türkischen Rüstungsunternehmen mit NATO-Bezug.
Für Unternehmen – insbesondere in regulierten Branchen und kritischen Sektoren – unterstreicht der Vorfall die Notwendigkeit, Perimeter-Security-Systeme konsequent abzusichern und Zero-Trust-Prinzipien nicht nur strategisch, sondern operativ umzusetzen.
Multi-Faktor-Authentifizierung sollte auf allen extern erreichbaren Verwaltungs- und VPN-Zugängen Standard sein. Ebenso wichtig sind restriktive Zugriffslisten, die Deaktivierung unnötiger Management-Zugänge aus dem Internet, regelmäßige Passwortrotationen, schnelle Patch-Zyklen, Segmentierung und eine aktive Überwachung sicherheitsrelevanter Logs. Selbst aktuelle Patches und komplexe Kennwörter reichen nicht aus, wenn Management-Interfaces offen erreichbar bleiben oder kompromittierte Zugangsdaten nicht konsequent ersetzt werden. FortiBleed zeigt damit, dass Zugangsdaten weiterhin ein zentraler Schwachpunkt der Sicherheitsarchitektur sind – und dass klassische Best Practices wie Administrator-Restriktionen, MFA, sauberes Credential-Management und Netzwerksegmentierung entscheidend bleiben, um weitreichende Netzkompromittierungen zu verhindern.