FortiBleed: Administrator-Passwörter bei 75.000 Fortinet-Firewalls geknackt

Stop - Pixabay[English]Der nächste Fall, bei dem bildlich gesprochen "die Hütte brennt". Betreiber von Fortinet-Produkten laufen Gefahr, dass deren Instanzen von Angreifern übernommen werden können. Hintergrund ist, dass bei den Instanzen die Passwörter für den Administrator-Zugang geknackt wurden.  Angreifer können die Installationen übernehmen und beliebig manipulieren. Das betrifft knapp 74.000 – 75.000 Instanzen, wie ich gelesen habe, und wird unter dem Begriff "FortiBleed" diskutiert. Ergänzung: Information zu mutmaßlichen Schwachstellen nachgetragen.


Fortinet Administrator-Kennwörter abgezogen

Das Thema ist mir am gestrigen 17. Juni 2026 bereits untergekommen, ich hatte aber noch keine Zeit, dass hier im Blog einzustellen. Blog-Leser Thomas H. hat mich die Nacht aber nochmals erinnert, dass Sicherheitsforscher Kevin Beaumont den Artikel FortiBleed — 75k Fortinet firewalls have admin passwords cracked auf Double Pulsar eingestellt hat.

FortiBleed

Sicherheitsforscher Voldymyr "Bob" Diachenko hat es am Wochenende in obigem Post in einigen Worten auf LinkedIn zusammengefasst. Es gibt eine massive Brute Force/Exploit-Kampagne, die auf das Knacken der Administratorzugänge von Fortinet-Geräten abzielt.  Mutmaßlich russischsprachigen Angreifern ist es, laut ArsTechnica, über eine massive Sicherheitslücke in Fortinet-Firewalls, gelungen, nahezu uneingeschränkten Zugriff auf  solche Instanzen zu erlangen.

ArsTechnica gibt an, dass fast 74.000 Fortinet-Geräte von mehr als 21.000 IP-Adressen in 194 Ländern kompromittiert und ihre Anmeldedaten im Klartext online offengelegt wurden. ArsTechnica bezieht sich ebenfalls auf Bob Diachenko, Sicherheitsforscher und Leiter von SecurityDiscovery.com und dessen Post sowie Online-Interview. Kevin Beaumont nennt sogar fast 75.000 betroffene Geräte, wobei die Daten echt und aktuell seien. Fast alle diese Fortinet Firewalls seien noch online.

Diachenko gibt an, die Daten gefunden zu haben, nachdem er sich Zugang zum Command-and-Control-Server der Angreifer und zu weiterer Infrastruktur verschafft hatte. Die Daten stammen mutmaßlich aus Konfigurationsexporten der Geräte, da sie Informationen enthalten, die nur auf dem Gerät selbst sichtbar sind. Wie die Daten exportiert werden konnten, ist mir derzeit unklar – es wird eine Sicherheitslücke vermutet.

Zu den offengelegten Daten gehörten laut Diachenko auch die Branche, der Umsatz und die Mitarbeiterzahl der einzelnen kompromittierten Unternehmen. Betroffen sind einige der weltweit größten und einflussreichsten Unternehmen, darunter Oracle, Chevron, Lenovo, Federal Express, einen NATO-Rüstungszulieferer und Fortinet selbst.

Nach meiner aktuellen Einschätzung, basierend auf obigen Informationen, gibt es das Problem, dass unbekannt ist, wie die Daten extrahiert werden konnten. Administratoren haben nur die Möglichkeit, die Firewalls offline zu nehmen – oder zumindest die Administrator-Kennwörter zu ändern. Bei letzterem ist das aber nur eine temporäre Maßnahme, solange unbekannt ist, wie die Angreifer an die Daten kommen, d.h. jederzeit das geänderte Administrator-Kennwort wieder abgreifen können.

In den Kommentaren weiter unten wird erwähnt, dass das Abgreifen nur möglich seit, weil das Administrator-Interface (Verwaltungszugang) wegen eines Konfigurationsfehlers per Internet erreichbar sei. Das kann, muss aber nicht stimmen, denn wir kennen die Schwachstelle, die diesen Angriff ermöglicht nicht. Wenn es wirklich Brute-Force-Passwort-Knack-Angriffe waren, die zur Offenlegung führten, hat der Kommentator Recht. Es wäre aber eine theoretisch eine Schwachstelle denkbar, die eine  Umgehung des Verwaltungszugangs ermöglicht.

Unternehmen wird zudem empfohlen, dass Sicherheitsverantwortliche ihre Netzwerke auf Anzeichen einer Kompromittierung untersuchen. Hudson Rock hat diese Suchmaschine zur Ermittlung betroffener Domains bereitgestellt. Dort werden derzeit noch knapp unter 74.000 betroffene Systeme gelistet. Ich habe siemens[.]com probiert, da gibt es 6 Treffer, fedex[.]com, netcologne[.]de und mercedes-benz[.]com sind mit einem Treffer dabei. Gut kommen auch med-uni-tuebingen[.]de oder dekra[.]com. Auch eine Unternehmensdomain unter onmicrosoft[.]com ist mir untergekommen.

Es gibt drei Sicherheitslücken

Ergänzung: Inzwischen bin ich bei der Nachrecherche auf nachfolgenden Tweet und den verlinkten Artikel Three critical Fortinet sandbox bugs splattered by unknown attackers von The Register gestoßen.

Fortinet-Schwachstellen

In Summe gibt es in der Sandbox von Fortinet, laut dem Threat-Intelligence-Unternehmen Defused, drei kritische Schwachstellen. Diese werden derzeit aktiv ausgenutzt.

Fortinet hat die zwei Schwachstellen, CVE-2026-39813 und CVE-2026-39808, bereits im April 2026 behoben. Die dritte Schwachstelle CVE-2026-25089 wurde vorige Woche gefixt.

Diese Schwachstellen ermöglichen es Angreifern, die Authentifizierung zu umgehen, Berechtigungen zu erweitern und bösartigen Code auszuführen und wurden mit einem CVSS-Score von 9,1 eingestuft. Fortinet gab bei der Veröffentlichung der Schwachstellen an, dass keine Ausnutzung bekannt sei. Das könnte sich jetzt geändert zu haben, obwohl das nicht sicher ist – wie ich in dieser Zusammenfassung bei heise gelesen habe.

Dieser Beitrag wurde unter Problem, Sicherheit, Software abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

28 Kommentare zu FortiBleed: Administrator-Passwörter bei 75.000 Fortinet-Firewalls geknackt

  1. Daniel Blum sagt:

    es gibt eine massive was? hast du das letzte Wort vergessen? 😊 vieleicht wars wieder der Microsoft Held dingsbums Eclipse der wieder abgeblitzt ist aber diesmal bei Fortinet 😁

    irgebdwas ishalt immer

  2. Wissi sagt:

    https:///www.hudsonrock.com//fortinet

    da kann man schauen, ob die eigene Firma betroffen ist.

    • Günter Born sagt:

      Danke, hab es auch inzwischen nachgetragen – musste nach dem Schreck erst einmal eine Stunde zum Sport ;-).

    • M.D. sagt:

      tl;dr.

      Hast Du nen Link zur Liste der nicht betroffenen Firmen zur Hand? Die könnte kürzer sein.

      So langsam — und das immer schneller — fehlt mir jegliches Verständnis, warum solche "Lösungen" überhaupt noch eingesetzt werden. Sollte es wegen Vorschriften/Regeln sein: vielleicht mal drüber nachdenken, ob da was mit den Vorschriften nicht stimmen kann.

      Es kann ja nicht sein, dass ohnehin komplexe Systeme sicherer werden, indem man die Komplexität erhöht und noch mehr da drauf klatscht.

  3. R.S. sagt:

    Die vermutliche Ursache dafür, das so ein Angriff überhaupt möglich ist, wird sein, das der Verwaltungszugang aus dem Internet möglich ist.
    Also schlicht ein Konfigurationsfehler.
    Verwaltungszugänge von Firewalls sollten NIE aus dem Internet erreichbar sein.

    Und wenn ich so lesen, was für offengelegte Daten das sind, dann hatten die Angreifer auch Zugang zu den Unternehmensnetzwerken.
    Denn solche Daten werden nie in einer Firewall gespeichert.

  4. flo sagt:

    Nachdem die Zugangsdaten wohl alle Mailadressen sind (daraus dann die Domains abgeleitet?) klingt das irgendwie nach der SSO-Geschichte aus dem Januar.

    • Christian G. sagt:

      So würde ich auch vermuten. Außer für Benachrichtigungen wüsste ich keinen Grund eine Mail-Adresse in der Forti zu hinterlegen.
      Vor allem deutet die Mailadresse bzw. die Domain nicht auf da betroffene Unternehmen hin, sondern zeigt meinem Verständnis nach "nur" dass es einen lokalen Account mit dieser Adresse am Gerät gibt.

      Ich vermute mal wieder dass es viel zu heiß gekocht wird ..

      • Flo sagt:

        Glaube in dem Fall ist es echt ekelig da man sich mit seinem Fortinet Account der gleichzeitig die Mailadresse ist an den Boxen anmelden man. Jetzt gab es aber eine Möglichkeit sich mit einem Account an beliebigen Boxen anzumelden. Bekannt geworden sind nur die Fälle bei denen neue Admins/VPNs angelegt wurden.

        Mich würde aber nicht wundern wenn jemand cleverer war und sich nur angemeldet und die Config exportiert hat. Aber reine Spekulation.

  5. Christian Krause sagt:

    "Verwaltungsinterface über das Internet erreichbar"…
    Dem ist nicht hinzuzufügen.
    Ich dachte immer, eine Firewall soll die Sicherheit erhöhen.

    • rpr sagt:

      tut sie wenn man keine Fehler macht und der erste und schwerste ist es sich für fachlich kompetent zu halten.

      • R.S. sagt:

        Und der zweite ist, wenn man die Verwaltungsschnittstelle aus dem Internet erreichbar macht.

        Und 2. Fehler:
        Die Passwörter waren nicht lang und komplex genug.
        Bei hinreichend langen und komplexen Passwörtern dauern Brute-Force Angriffe Milliarden von Jahren, also zu lang für einen Erfolg.
        Mindestlänge 16 Stellen, besser 20 Stellen, und Groß/Kleinscheibung, Ziffern, Sonderzeichen, keine real exisierenden Wörter (wegen Wörterbuchangriffen).

        • robbi sagt:

          Milliarden von Jahren sagen hier aber nichts über die Stochastik aus.
          Du kannst schon beim ersten Versuch einen Volltreffer landen…
          Sicherer wäre nur der Mechanismus den man von Iphones kennt…

        • Varus sagt:

          Hier geht es überwiegend um Phishing oder Breaches und nicht um BruteForce. Diesen Tätern ist die Komplexität eines Passwortes naturgemäß egal.

          • Daniel A. sagt:

            Nicht nur. Soweit ich das gelesen habe war hier auch die Situation, dass Konfigdateien gezogen wurden, die weitere Passwörter als SHA256 Hash enthalten haben, die wurden dann von den Hackern mittels externem GPU-Cluster entschlüsselt. Da ist die Komplexität dann doch relevant.

            • Varus sagt:

              Nein, das ist ein Trugschluss. Die relevante Komplexität in dieser Situation bezieht sich auf die Qualität des Hashes, nicht auf die des gehashten Passwortes. Ist die Rückrechnung des Hashes möglich, liegt das Passwort im Klartext vor.

              • M.D. sagt:

                Nein. Einen klassischenHash kann man nicht zurückrechnen. Man kann entweder über Rainbow Tables gehen oder brute force machen.

                Ein Hash-Algorithmus beinhaltet einen trap door- Mechanismus, der verhindert, dass man aus dem Hashwert rückwärts den Ausgangswert errechnet. Es geht nur vorwärts, Ausgangswert zum Hashwert.

                Um Brute Force zu erschweren kann man das Passwort möglichst lang machen und — wenn möglich — die Rundenzahl deutlich erhöhen, damit die Rechenzeit pro Versuch so weit ansteigt, dass es sich quasi nicht lohnt, das auf diesem Weg zu versuchen.

        • Daniel A. sagt:

          Wobei in diesem Fall wohl auch diverse Passwörter dabei sind, die durchaus komplex waren. Hat nur leider nicht geholfen, da die wohl schon bei einem früheren Passwortbreach erbeutet wurden, somit brauchten die Hacker die in diesem Fall gar nicht entschlüsseln, die hatten sie zu dem Zeitpunkt schon im Klartext. Da war dann eher der Fail, dass die Passwörter nicht schon früher geändert wurden.

  6. Gänseblümchen sagt:

    Hier ist noch eine interessante Zusammenfassung der bisherigen Erkenntnises: https://cybelangel.com/blog/fortibleed-6-things-to-know/

    Das Ganze bleibt nebulös, ein Bekannter von mir, der solche Firewalls betreut, sagte mir, Fortinet vermutet alte Sicherheitslücken in nicht aktualisierten Firewall-Appliances. Aber wenn ich mir die bei Hudsonrock einsehbaren Domainnamen so ansehe, glaube ich nicht dran. Das sind schon dicke Brummer, welche da gelistet werden, alles was in der Wirtschaft Rang und Namen hat, inklusive Fortinet selbst, die da scheinbar gehackt wurden, die werden wohl ein ausgefeiltes Updatemanagement haben. Kurz, an die Nummer mit fehlenden Firmwareupdates glaube ich nicht. Da steht eher ein 0-Day ganz fett wie ein Elefant im Raum, bloß niemand sieht ihn bisher.

  7. Sebastian sagt:

    Na so ein Glück, dass wir Deutschen in den letzten 18 Monaten bundesweit zehntausende Arztpraxen im Zuge der "Cloudifizierung" der Telematik Infrastruktur mit diesen Fortigate-Schrottkisten ausgerüstet haben.
    Die viele Millionen Euro, die Fortinet dadurch mehr oder weniger leistungslos geschenkt bekommen hat, können sie ja jetzt zum Fixen ihrer Hochsicherheits-Produkte verwenden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.