FortiBleed: Über 73.000 Fortinet-Firewalls weltweit kompromittiert – Riesige Passwort-Ernte-Kampagne aufgedeckt

Angriffsmethode: Keine Zero-Days, nur schlechte Hygiene

Trotz des Namens, der an Heartbleed erinnert, hat FortiBleed nichts mit einer Software-Sicherheitslücke zu tun. Mehrere Sicherheitsfirmen – darunter TechCrunch, SOCRadar, Hudson Rock und Arctic Wolf – bestätigten, dass keine unbekannten Schwachstellen (Zero-Days) ausgenutzt wurden .

Stattdessen verfolgten die Angreiber einen zweistufigen Supply-Chain-Ansatz:

• Schritt 1: Ernten von Zugangsdaten durch Infostealer-Malware. Die Anmeldedaten für Fortinet-Admin-Oberflächen und VPN-Portale wurden zunächst von Mitarbeiter- und Administratorrechnern gestohlen, die mit Infostealer-Malware infiziert waren .
• Schritt 2: Knacken von Passwort-Hashes aus offengelegten Konfigurationen. Nachdem die Angreiber ersten Zugriff erlangt hatten, extrahierten sie Konfigurationsdateien von internetzugänglichen FortiGate-Geräten und knackten die darin gespeicherten SSL-VPN-Passwort-Hashes mit einem 45-GPU-Cluster, wobei sie schwache oder nicht rotierte Passwörter ausnutzten .

SOCRadar bestätigte, dass die Angreifer mindestens 30.791 verifizierte, funktionierende Anmeldedaten von internetzugänglichen FortiGate-Geräten gesammelt haben . Die Analyse von Arctic Wolf bestätigte unabhängig, dass die Schätzungen der kompromittierten Geräte zwischen 30.000 und 75.000 liegen .

Hochkarätige Opfer

Zu den bestätigten Opfern, die in mehreren Berichten genannt werden, gehören Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens und PwC sowie Regierungsbehörden in mindestens 15 Ländern . Reuters berichtete, dass sich die meisten kompromittierten Geräte in den USA, Indien und Taiwan befanden .

Die am stärksten betroffenen Branchen waren laut der analysierten Daten:

• IT-Dienstleistungen (Managed Service Provider, Cloud-Betreiber)
• Baustoffe (große multinationale Zulieferer)
• Telekommunikation (Tier-1-Carrier und Internetdienstanbieter)

Mehrere Quellen identifizieren diese drei als die am stärksten betroffenen Sektoren .

Zeitgleiche Angriffe

Zeitgleich mit FortiBleed beobachteten Forscher 2,1 Milliarden Brute-Force-Anmeldeversuche gegen mehr als 160.000 internetzugängliche MSSQL-Server, die vermutlich von derselben Bedrohungsgruppe betrieben werden .

Urheberschaft

Sowohl SOCRadar als auch Hudson Rock führen die Kampagne auf eine russischsprachige Multi-Operator-Bedrohungsgruppe zurück . Die Angreifer unterhielten auf den kompromittierten Geräten eine aktive Backend-Infrastruktur – einschließlich Cron-Jobs, Telemetrie und Live-Schleifen zum Ernten von Anmeldedaten –, was auf eine ausgefeilte, andauernde Operation hindeutet, nicht auf einen einmaligen Datenabgriff .

Empfohlene Gegenmaßnahmen

Sicherheitsfirmen wie Hudson Rock, Arctic Wolf und Fortinet empfehlen allen Organisationen, die Fortinet-Geräte einsetzen, die folgenden sofortigen Maßnahmen:

• Sofortige Passwort-Rotation für alle FortiGate-Admin- und SSL-VPN-Konten erzwingen .
• Multi-Faktor-Authentifizierung (MFA) für jeden VPN-Login einrichten – dies ist die mit Abstand wirksamste Maßnahme gegen Credential-Stuffing-Angriffe .
• Geräteprotokolle prüfen auf unbefugte Konfigurationsexporte, unbekannte Cron-Jobs und anomale VPN-Sitzungen .
• Zugriff auf die Verwaltungsoberfläche auf vertrauenswürdige IPs beschränken; die Admin-Oberfläche oder SSH niemals für das öffentliche Internet freigeben .

Kostenloses Prüfportal für Unternehmen

Hudson Rock hat ein kostenloses Suchportal eingerichtet, mit dem jede Organisation ihre Domain gegen den Datensatz mit den 73.932 kompromittierten Geräten prüfen kann. Dieses Tool wurde am 17. und 18. Juni 2026 weithin bekannt gemacht .