Aktuell: FortiBleed – Massive Angriffswelle

Was steckt hinter FortiBleed?

Ein Sicherheitsforscher stieß Anfang Juni 2026 auf eine ungewöhnlich aufgebaute Datensammlung. Nach genauerer Untersuchung erwies sie sich als Bestand gestohlener Anmeldedaten für Fortinet-Firewalls und VPN-Gateways. Das Sicherheitsunternehmen SOCRadar entdeckte dabei nicht nur eine Liste gestohlener Passwörter, sondern die gesamte Angriffsinfrastruktur: die Werkzeuge, die Automatisierung und die Opferliste. Security-InsiderSOCRadar

Die Angreifer haben systematisch Konfigurationsdateien von internetexponierten FortiGate-Geräten ausgelesen und die darin enthaltenen Passwort-Hashes geknackt – mit dem Ergebnis verifizierter, funktionierender Administratoren-Zugangsdaten für zwischen 30.000 und 75.000 Geräte in 194 Ländern. Arctic Wolf

Wie funktioniert der Angriff?

Die Angreifer scannen das Internet systematisch nach Fortinet-Geräten, testen bekannte Passwörter und protokollieren jeden erfolgreichen Login. Einmal kompromittiert, nutzen sie die Firewall als Lauschposten, um den durchfließenden SSL-VPN-Datenverkehr abzugreifen und weitere Zugangsdaten zu sammeln. Diese fließen dann zurück in den Scanner – das System speist sich selbst. SOCRadar

Eine russischsprachige Gruppe setzte dabei rund 1,16 Milliarden Anmeldeversuche und einen Cluster aus 45 Grafikprozessoren ein, um die Passwort-Hashes zu knacken. BornCity

Der technische Grund für den Erfolg der Angreifer: Fortinet stellte zwar Anfang 2025 auf das sicherere PBKDF2-Hashing-Verfahren um, doch dieser Schutz greift nur, wenn Administratoren sich nach dem Firmware-Update aktiv eingeloggt haben. Viele Geräte speicherten die Zugangsdaten daher weiterhin im älteren, anfälligeren SHA-256-Format – leichte Beute für Offline-Brute-Force-Angriffe. InfoStealers

Welche Gefahr droht betroffenen Unternehmen?

Die eigentliche Gefahr liegt nicht im einzelnen geleakten Passwort, sondern in der Position der betroffenen Geräte. Eine Firewall sitzt am Netzwerkperimeter – gültige Administrator-Zugangsdaten geben Angreifern direkten Zugriff auf interne Systeme, VPN-Tunnel und sensible Daten. Mit Administratorrechten lassen sich Firewall-Regeln verändern, neue VPN-Konten anlegen und der Datenverkehr umleiten. Von dort bewegen sich Angreifer über Lateral Movement seitlich ins Netzwerk, exfiltrieren Daten oder bringen Ransomware aus. Sophos

Besonders alarmierend: Die Angreifer führen strukturierte Datenbanken mit bereits validierten Logins, sortiert nach Ländern, Branchen und sogar dem geschätzten Unternehmensumsatz – ein klares Zeichen für die Vorbereitung gezielter, gewinnorientierter Folgeattacken. IOK GmbH & Co. KG

Was sollten Unternehmen jetzt tun?

Fortinet empfiehlt, alle Admin- und VPN-Sitzungen sofort zu beenden und Zugangsdaten zurückzusetzen, Multi-Faktor-Authentifizierung (MFA) zu aktivieren, auf aktuelle FortiOS-Versionen zu aktualisieren sowie Logs auf unbekannte Administrator-Zugriffe, Lateral Movement und verdächtige Kontoaktivitäten zu prüfen. The Hacker News

Darüber hinaus sollten Weboberflächen und SSH-Zugänge zur Firewall-Verwaltung niemals offen aus dem Internet erreichbar sein. Der administrative Zugriff sollte auf vertrauenswürdige, interne Netzwerke beschränkt oder über ein dediziertes, abgesichertes Management-VPN abgewickelt werden. IOK GmbH & Co. KG

Warum unsere Fortinet Kunden nicht betroffen sind?

Kunden von Oberberg-Online, die einen aktiven und gültigen Servicevertrag für Ihre Fortinet-Devices mit uns haben, erhalten regelmäßig Updates Ihrer Systeme proaktiv eingespielt. Von daher wurden diese Geräte schon vor längerer Zeit aktualisiert und sind nicht betroffen.

Zudem werden die Management-Interfaces bei ausschließlich durch uns verwalteten Appliances nicht öffentlich aus dem Internet erreicht.

---