FortiBleed: Administrator-Passwörter bei 75.000 Fortinet-Firewalls geknackt

Der nächste Fall, bei dem bildlich gesprochen "die Hütte brennt". Betreiber von Fortinet-Produkten laufen Gefahr, dass deren Instanzen von Angreifern übernommen werden können. Hintergrund ist, dass bei den Instanzen die Passwörter für den Administrator-Zugang geknackt wurden.  Angreifer können die Installationen übernehmen und beliebig manipulieren. Das betrifft knapp 74.000 – 75.000 Instanzen, wie ich gelesen habe, und wird unter dem Begriff "FortiBleed" diskutiert.

Das Thema ist mir am gestrigen 17. Juni 2026 bereits untergekommen, ich hatte aber noch keine Zeit, dass hier im Blog einzustellen. Blog-Leser Thomas H. hat mich die Nacht aber nochmals erinnert, dass Sicherheitsforscher Kevin Beaumont den Artikel FortiBleed — 75k Fortinet firewalls have admin passwords cracked auf Double Pulsar eingestellt hat.

Sicherheitsforscher Voldymyr "Bob" Diachenko hat es am Wochenende in obigem Post in einigen Worten auf LinkedIn zusammengefasst. Es gibt eine massive Brute Force/Exploit-Kampagne, die auf das Knacken der Administratorzugänge von Fortinet-Geräten abzielt.  Mutmaßlich russischsprachigen Angreifern ist es, laut ArsTechnica, über eine massive Sicherheitslücke in Fortinet-Firewalls, gelungen, nahezu uneingeschränkten Zugriff auf  solche Instanzen zu erlangen.

ArsTechnica gibt an, dass fast 74.000 Fortinet-Geräte von mehr als 21.000 IP-Adressen in 194 Ländern kompromittiert und ihre Anmeldedaten im Klartext online offengelegt wurden. ArsTechnica bezieht sich ebenfalls auf Bob Diachenko, Sicherheitsforscher und Leiter von SecurityDiscovery.com und dessen Post sowie Online-Interview. Kevin Beaumont nennt sogar fast 75.000 betroffene Geräte, wobei die Daten echt und aktuell seien. Fast alle diese Fortinet Firewalls seien noch online.

Diachenko gibt an, die Daten gefunden zu haben, nachdem er sich Zugang zum Command-and-Control-Server der Angreifer und zu weiterer Infrastruktur verschafft hatte. Die Daten stammen mutmaßlich aus Konfigurationsexporten der Geräte, da sie Informationen enthalten, die nur auf dem Gerät selbst sichtbar sind. Wie die Daten exportiert werden konnten, ist mir derzeit unklar – es wird eine Sicherheitslücke vermutet.

Zu den offengelegten Daten gehörten laut Diachenko auch die Branche, der Umsatz und die Mitarbeiterzahl der einzelnen kompromittierten Unternehmen. Betroffen sind einige der weltweit größten und einflussreichsten Unternehmen, darunter Oracle, Chevron, Lenovo, Federal Express, einen NATO-Rüstungszulieferer und Fortinet selbst.

Nach meiner aktuellen Einschätzung, basierend auf obigen Informationen, gibt es das Problem, dass unbekannt ist, wie die Daten extrahiert werden konnten. Administratoren haben nur die Möglichkeit, die Firewalls offline zu nehmen – oder zumindest die Administrator-Kennwörter zu ändern. Bei letzterem ist das aber nur eine temporäre Maßnahme, solange unbekannt ist, wie die Angreifer an die Daten kommen, d.h. jederzeit das geänderte Administrator-Kennwort wieder abgreifen können.

In den Kommentaren weiter unten wird erwähnt, dass das Abgreifen nur möglich seit, weil das Administrator-Interface (Verwaltungszugang) wegen eines Konfigurationsfehlers per Internet erreichbar sei. Das kann, muss aber nicht stimmen, denn wir kennen die Schwachstelle, die diesen Angriff ermöglicht nicht. Wenn es wirklich Brute-Force-Passwort-Knack-Angriffe waren, die zur Offenlegung führten, hat der Kommentator Recht. Es wäre aber eine theoretisch eine Schwachstelle denkbar, die eine  Umgehung des Verwaltungszugangs ermöglicht.

Unternehmen wird zudem empfohlen, dass Sicherheitsverantwortliche ihre Netzwerke auf Anzeichen einer Kompromittierung untersuchen. Hudson Rock hat diese Suchmaschine zur Ermittlung betroffener Domains bereitgestellt. Dort werden derzeit noch knapp unter 74.000 betroffene Systeme gelistet. Ich habe siemens[.]com probiert, da gibt es 6 Treffer, fedex[.]com, netcologne[.]de und mercedes-benz[.]com sind mit einem Treffer dabei. Auch eine Unternehmensdomain unter onmicrosoft[.]com ist mir untergekommen.