[English]Der nächste Fall, bei dem bildlich gesprochen "die Hütte brennt". Betreiber von Fortinet-Produkten laufen Gefahr, dass deren Instanzen von Angreifern übernommen werden können. Hintergrund ist, dass bei den Instanzen die Passwörter für den Administrator-Zugang geknackt wurden. Angreifer können die Installationen übernehmen und beliebig manipulieren. Das betrifft knapp 74.000 – 75.000 Instanzen, wie ich gelesen habe, und wird unter dem Begriff "FortiBleed" diskutiert. Ergänzung: Information zu mutmaßlichen Schwachstellen nachgetragen.
Fortinet Administrator-Kennwörter abgezogen
Das Thema ist mir am gestrigen 17. Juni 2026 bereits untergekommen, ich hatte aber noch keine Zeit, dass hier im Blog einzustellen. Blog-Leser Thomas H. hat mich die Nacht aber nochmals erinnert, dass Sicherheitsforscher Kevin Beaumont den Artikel FortiBleed — 75k Fortinet firewalls have admin passwords cracked auf Double Pulsar eingestellt hat.

Sicherheitsforscher Voldymyr "Bob" Diachenko hat es am Wochenende in obigem Post in einigen Worten auf LinkedIn zusammengefasst. Es gibt eine massive Brute Force/Exploit-Kampagne, die auf das Knacken der Administratorzugänge von Fortinet-Geräten abzielt. Mutmaßlich russischsprachigen Angreifern ist es, laut ArsTechnica, über eine massive Sicherheitslücke in Fortinet-Firewalls, gelungen, nahezu uneingeschränkten Zugriff auf solche Instanzen zu erlangen.
ArsTechnica gibt an, dass fast 74.000 Fortinet-Geräte von mehr als 21.000 IP-Adressen in 194 Ländern kompromittiert und ihre Anmeldedaten im Klartext online offengelegt wurden. ArsTechnica bezieht sich ebenfalls auf Bob Diachenko, Sicherheitsforscher und Leiter von SecurityDiscovery.com und dessen Post sowie Online-Interview. Kevin Beaumont nennt sogar fast 75.000 betroffene Geräte, wobei die Daten echt und aktuell seien. Fast alle diese Fortinet Firewalls seien noch online.
Diachenko gibt an, die Daten gefunden zu haben, nachdem er sich Zugang zum Command-and-Control-Server der Angreifer und zu weiterer Infrastruktur verschafft hatte. Die Daten stammen mutmaßlich aus Konfigurationsexporten der Geräte, da sie Informationen enthalten, die nur auf dem Gerät selbst sichtbar sind. Wie die Daten exportiert werden konnten, ist mir derzeit unklar – es wird eine Sicherheitslücke vermutet.
Zu den offengelegten Daten gehörten laut Diachenko auch die Branche, der Umsatz und die Mitarbeiterzahl der einzelnen kompromittierten Unternehmen. Betroffen sind einige der weltweit größten und einflussreichsten Unternehmen, darunter Oracle, Chevron, Lenovo, Federal Express, einen NATO-Rüstungszulieferer und Fortinet selbst.
Nach meiner aktuellen Einschätzung, basierend auf obigen Informationen, gibt es das Problem, dass unbekannt ist, wie die Daten extrahiert werden konnten. Administratoren haben nur die Möglichkeit, die Firewalls offline zu nehmen – oder zumindest die Administrator-Kennwörter zu ändern. Bei letzterem ist das aber nur eine temporäre Maßnahme, solange unbekannt ist, wie die Angreifer an die Daten kommen, d.h. jederzeit das geänderte Administrator-Kennwort wieder abgreifen können.
In den Kommentaren weiter unten wird erwähnt, dass das Abgreifen nur möglich seit, weil das Administrator-Interface (Verwaltungszugang) wegen eines Konfigurationsfehlers per Internet erreichbar sei. Das kann, muss aber nicht stimmen, denn wir kennen die Schwachstelle, die diesen Angriff ermöglicht nicht. Wenn es wirklich Brute-Force-Passwort-Knack-Angriffe waren, die zur Offenlegung führten, hat der Kommentator Recht. Es wäre aber eine theoretisch eine Schwachstelle denkbar, die eine Umgehung des Verwaltungszugangs ermöglicht.
Unternehmen wird zudem empfohlen, dass Sicherheitsverantwortliche ihre Netzwerke auf Anzeichen einer Kompromittierung untersuchen. Hudson Rock hat diese Suchmaschine zur Ermittlung betroffener Domains bereitgestellt. Dort werden derzeit noch knapp unter 74.000 betroffene Systeme gelistet. Ich habe siemens[.]com probiert, da gibt es 6 Treffer, fedex[.]com, netcologne[.]de und mercedes-benz[.]com sind mit einem Treffer dabei. Gut kommen auch med-uni-tuebingen[.]de oder dekra[.]com. Auch eine Unternehmensdomain unter onmicrosoft[.]com ist mir untergekommen.
Es gibt drei Sicherheitslücken
Ergänzung: Inzwischen bin ich bei der Nachrecherche auf nachfolgenden Tweet und den verlinkten Artikel Three critical Fortinet sandbox bugs splattered by unknown attackers von The Register gestoßen.
In Summe gibt es in der Sandbox von Fortinet, laut dem Threat-Intelligence-Unternehmen Defused, drei kritische Schwachstellen. Diese werden derzeit aktiv ausgenutzt.
Fortinet hat die zwei Schwachstellen, CVE-2026-39813 und CVE-2026-39808, bereits im April 2026 behoben. Die dritte Schwachstelle CVE-2026-25089 wurde vorige Woche gefixt.
Diese Schwachstellen ermöglichen es Angreifern, die Authentifizierung zu umgehen, Berechtigungen zu erweitern und bösartigen Code auszuführen und wurden mit einem CVSS-Score von 9,1 eingestuft. Fortinet gab bei der Veröffentlichung der Schwachstellen an, dass keine Ausnutzung bekannt sei. Das könnte sich jetzt geändert zu haben, obwohl das nicht sicher ist – wie ich in dieser Zusammenfassung bei heise gelesen habe.




MVP: 2013 – 2016





es gibt eine massive was? hast du das letzte Wort vergessen? 😊 vieleicht wars wieder der Microsoft Held dingsbums Eclipse der wieder abgeblitzt ist aber diesmal bei Fortinet 😁
irgebdwas ishalt immer
Da steht "es gibt eine massiv Brute Force/Exploit-Kampagne". Hab ich was verpasst?
https:///www.hudsonrock.com//fortinet
da kann man schauen, ob die eigene Firma betroffen ist.
Danke, hab es auch inzwischen nachgetragen – musste nach dem Schreck erst einmal eine Stunde zum Sport ;-).
tl;dr.
Hast Du nen Link zur Liste der nicht betroffenen Firmen zur Hand? Die könnte kürzer sein.
So langsam — und das immer schneller — fehlt mir jegliches Verständnis, warum solche "Lösungen" überhaupt noch eingesetzt werden. Sollte es wegen Vorschriften/Regeln sein: vielleicht mal drüber nachdenken, ob da was mit den Vorschriften nicht stimmen kann.
Es kann ja nicht sein, dass ohnehin komplexe Systeme sicherer werden, indem man die Komplexität erhöht und noch mehr da drauf klatscht.
Die vermutliche Ursache dafür, das so ein Angriff überhaupt möglich ist, wird sein, das der Verwaltungszugang aus dem Internet möglich ist.
Also schlicht ein Konfigurationsfehler.
Verwaltungszugänge von Firewalls sollten NIE aus dem Internet erreichbar sein.
Und wenn ich so lesen, was für offengelegte Daten das sind, dann hatten die Angreifer auch Zugang zu den Unternehmensnetzwerken.
Denn solche Daten werden nie in einer Firewall gespeichert.
"Verwaltungszugänge von Firewalls sollten NIE aus dem Internet erreichbar sein."
Schöne Theorie. Leider sind inzwischen Cloud- und "as-a service"-Provider üblich, welchen eine Verwaltung "aus dem Internet" einfordern.
Dann sollen die sich erst per VPN anmelden.
So funktioniert das mit der Cloud Verwaltung aber nachweislich da draußen nicht! Die Cloud Verwaltung muss ja auch ohne VPN funktionieren, sonst würde man sich evtl. bei einem VPN Problem selber von der Verwaltung abschneiden.
Dann wählt man ein anders Produkt… diese Probleme sind hausgemacht!
Dafür gibt es out of band modems.
Für die Cloud Verwaltung muss eine Firewall gar nichts ins Internet öffnen.
so ist es. Wer Admin Zugang von extern ermöglicht, hat etwas nicht verstanden.
Intern sollte man natürlich nur auf ein MGMT Netz beschränken
Nachdem die Zugangsdaten wohl alle Mailadressen sind (daraus dann die Domains abgeleitet?) klingt das irgendwie nach der SSO-Geschichte aus dem Januar.
So würde ich auch vermuten. Außer für Benachrichtigungen wüsste ich keinen Grund eine Mail-Adresse in der Forti zu hinterlegen.
Vor allem deutet die Mailadresse bzw. die Domain nicht auf da betroffene Unternehmen hin, sondern zeigt meinem Verständnis nach "nur" dass es einen lokalen Account mit dieser Adresse am Gerät gibt.
Ich vermute mal wieder dass es viel zu heiß gekocht wird ..
Glaube in dem Fall ist es echt ekelig da man sich mit seinem Fortinet Account der gleichzeitig die Mailadresse ist an den Boxen anmelden man. Jetzt gab es aber eine Möglichkeit sich mit einem Account an beliebigen Boxen anzumelden. Bekannt geworden sind nur die Fälle bei denen neue Admins/VPNs angelegt wurden.
Mich würde aber nicht wundern wenn jemand cleverer war und sich nur angemeldet und die Config exportiert hat. Aber reine Spekulation.
"Verwaltungsinterface über das Internet erreichbar"…
Dem ist nicht hinzuzufügen.
Ich dachte immer, eine Firewall soll die Sicherheit erhöhen.
tut sie wenn man keine Fehler macht und der erste und schwerste ist es sich für fachlich kompetent zu halten.
Und der zweite ist, wenn man die Verwaltungsschnittstelle aus dem Internet erreichbar macht.
Und 2. Fehler:
Die Passwörter waren nicht lang und komplex genug.
Bei hinreichend langen und komplexen Passwörtern dauern Brute-Force Angriffe Milliarden von Jahren, also zu lang für einen Erfolg.
Mindestlänge 16 Stellen, besser 20 Stellen, und Groß/Kleinscheibung, Ziffern, Sonderzeichen, keine real exisierenden Wörter (wegen Wörterbuchangriffen).
Milliarden von Jahren sagen hier aber nichts über die Stochastik aus.
Du kannst schon beim ersten Versuch einen Volltreffer landen…
Sicherer wäre nur der Mechanismus den man von Iphones kennt…
Hier geht es überwiegend um Phishing oder Breaches und nicht um BruteForce. Diesen Tätern ist die Komplexität eines Passwortes naturgemäß egal.
Nicht nur. Soweit ich das gelesen habe war hier auch die Situation, dass Konfigdateien gezogen wurden, die weitere Passwörter als SHA256 Hash enthalten haben, die wurden dann von den Hackern mittels externem GPU-Cluster entschlüsselt. Da ist die Komplexität dann doch relevant.
Nein, das ist ein Trugschluss. Die relevante Komplexität in dieser Situation bezieht sich auf die Qualität des Hashes, nicht auf die des gehashten Passwortes. Ist die Rückrechnung des Hashes möglich, liegt das Passwort im Klartext vor.
Nein. Einen klassischenHash kann man nicht zurückrechnen. Man kann entweder über Rainbow Tables gehen oder brute force machen.
Ein Hash-Algorithmus beinhaltet einen trap door- Mechanismus, der verhindert, dass man aus dem Hashwert rückwärts den Ausgangswert errechnet. Es geht nur vorwärts, Ausgangswert zum Hashwert.
Um Brute Force zu erschweren kann man das Passwort möglichst lang machen und — wenn möglich — die Rundenzahl deutlich erhöhen, damit die Rechenzeit pro Versuch so weit ansteigt, dass es sich quasi nicht lohnt, das auf diesem Weg zu versuchen.
Man könne Hashes nicht zurückrechnen? Wann hast du Informatik studiert – vor 30 Jahren?
Wobei in diesem Fall wohl auch diverse Passwörter dabei sind, die durchaus komplex waren. Hat nur leider nicht geholfen, da die wohl schon bei einem früheren Passwortbreach erbeutet wurden, somit brauchten die Hacker die in diesem Fall gar nicht entschlüsseln, die hatten sie zu dem Zeitpunkt schon im Klartext. Da war dann eher der Fail, dass die Passwörter nicht schon früher geändert wurden.
Hier ist noch eine interessante Zusammenfassung der bisherigen Erkenntnises: https://cybelangel.com/blog/fortibleed-6-things-to-know/
Das Ganze bleibt nebulös, ein Bekannter von mir, der solche Firewalls betreut, sagte mir, Fortinet vermutet alte Sicherheitslücken in nicht aktualisierten Firewall-Appliances. Aber wenn ich mir die bei Hudsonrock einsehbaren Domainnamen so ansehe, glaube ich nicht dran. Das sind schon dicke Brummer, welche da gelistet werden, alles was in der Wirtschaft Rang und Namen hat, inklusive Fortinet selbst, die da scheinbar gehackt wurden, die werden wohl ein ausgefeiltes Updatemanagement haben. Kurz, an die Nummer mit fehlenden Firmwareupdates glaube ich nicht. Da steht eher ein 0-Day ganz fett wie ein Elefant im Raum, bloß niemand sieht ihn bisher.
Na so ein Glück, dass wir Deutschen in den letzten 18 Monaten bundesweit zehntausende Arztpraxen im Zuge der "Cloudifizierung" der Telematik Infrastruktur mit diesen Fortigate-Schrottkisten ausgerüstet haben.
Die viele Millionen Euro, die Fortinet dadurch mehr oder weniger leistungslos geschenkt bekommen hat, können sie ja jetzt zum Fixen ihrer Hochsicherheits-Produkte verwenden.