Der nächste Fall, bei dem bildlich gesprochen "die Hütte brennt". Betreiber von Fortinet-Produkten laufen Gefahr, dass deren Instanzen von Angreifern übernommen werden können. Hintergrund ist, dass bei den Instanzen die Passwörter für den Administrator-Zugang geknackt wurden. Angreifer können die Installationen übernehmen und beliebig manipulieren. Das betrifft 75.000 Instanzen, wie ich gelesen habe, und wird unter dem Begriff "FortiBleed" diskutiert.
Das Thema ist mir am gestrigen 17. Juni 2026 bereits untergekommen, ich hatte aber noch keine Zeit, dass hier im Blog einzustellen. Blog-Leser Thomas H. hat mich die Nacht aber nochmals erinnert, dass Sicherheitsforscher Kevin Beaumont den Artikel FortiBleed — 75k Fortinet firewalls have admin passwords cracked auf Double Pulsar eingestellt hat.
Sicherheitsforscher Voldymyr "Bob" Diachenko hat es am Wochenende in obigem Post in einigen Worten auf LinkedIn zusammengefasst. Es gibt eine massive Brute Force/Exploit-Kampagne, die auf das Knacken der Administratorzugänge von Fortinet-Geräten abzielt. Mutmaßlich russischsprachigen Angreifern ist es, laut ArsTechnica über eine massive Sicherheitslücke in Fortinet-Firewalls, gelungen, nahezu uneingeschränkten Zugriff auf solche Instanzen zu erlangen.
ArsTechnica gibt an, dass fast 74.000 Fortinet-Geräte von mehr als 21.000 IP-Adressen in 194 Ländern kompromittiert und ihre Anmeldedaten im Klartext online offengelegt wurden. ArsTechnica bezieht sich auf Bob Diachenko, Sicherheitsforscher und Leiter von SecurityDiscovery.com. Kevin Beaumont nennt sogar 75.000 betroffene Geräte. Diachenko gibt an, die Daten gefunden zu haben, nachdem er sich Zugang zum Command-and-Control-Server der Angreifer und zu weiterer Infrastruktur verschafft hatte.
Zu den offengelegten Daten gehörten auch die Branche, der Umsatz und die Mitarbeiterzahl der einzelnen kompromittierten Unternehmen. Betroffen sind einige der weltweit größten und einflussreichsten Unternehmen, darunter Oracle, Chevron, Lenovo, Federal Express, einen NATO-Rüstungszulieferer und Fortinet selbst.
MVP: 2013 – 2016
es gibt eine massive was? hast du das letzte Wort vergessen? 😊 vieleicht wars wieder der Microsoft Held dingsbums Eclipse der wieder abgeblitzt ist aber diesmal bei Fortinet 😁
irgebdwas ishalt immer
Die vermutliche Ursache dafür, das so ein Angriff überhaupt möglich ist, wird sein, das der Verwaltungszugang aus dem Internet möglich ist.
Also schlicht ein Konfigurationsfehler.
Verwaltungszugänge von Firewalls sollten NIE aus dem Internet erreichbar sein.
Und wenn ich so lesen, was für offengelegte Daten das sind, dann hatten die Angreifer auch Zugang zu den Unternehmensnetzwerken.
Denn solche Daten werden nie in einer Firewall gespeichert.