{"id":326572,"date":"2026-06-18T05:29:13","date_gmt":"2026-06-18T03:29:13","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=326572"},"modified":"2026-06-18T10:41:59","modified_gmt":"2026-06-18T08:41:59","slug":"fortibleed-administrator-passwoerter-bei-75-000-fortinet-firewalls-geknackt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/06\/18\/fortibleed-administrator-passwoerter-bei-75-000-fortinet-firewalls-geknackt\/","title":{"rendered":"FortiBleed: Administrator-Passw\u00f6rter bei 75.000 Fortinet-Firewalls geknackt"},"content":{"rendered":"

\"StopDer n\u00e4chste Fall, bei dem bildlich gesprochen \"die H\u00fctte brennt\". Betreiber von Fortinet-Produkten laufen Gefahr, dass deren Instanzen von Angreifern \u00fcbernommen werden k\u00f6nnen. Hintergrund ist, dass bei den Instanzen die Passw\u00f6rter f\u00fcr den Administrator-Zugang geknackt wurden.\u00a0 Angreifer k\u00f6nnen die Installationen \u00fcbernehmen und beliebig manipulieren. Das betrifft knapp 74.000 – 75.000 Instanzen, wie ich gelesen habe, und wird unter dem Begriff \"FortiBleed\" diskutiert.<\/p>\n

<\/p>\n

\"\"Das Thema ist mir am gestrigen 17. Juni 2026 bereits untergekommen, ich hatte aber noch keine Zeit, dass hier im Blog einzustellen. Blog-Leser Thomas H. hat mich die Nacht aber nochmals erinnert, dass Sicherheitsforscher Kevin Beaumont den Artikel\u00a0FortiBleed \u2014 75k Fortinet firewalls have admin passwords cracked<\/a> auf Double Pulsar eingestellt hat.<\/p>\n

\"FortiBleed\"<\/p>\n

Sicherheitsforscher Voldymyr \"Bob\" Diachenko hat es am Wochenende in obigem Post in einigen Worten auf LinkedIn zusammengefasst. Es gibt eine massive Brute Force\/Exploit-Kampagne, die auf das Knacken der Administratorzug\u00e4nge von Fortinet-Ger\u00e4ten abzielt.\u00a0 Mutma\u00dflich russischsprachigen Angreifern ist es, laut ArsTechnica<\/a>, \u00fcber eine massive Sicherheitsl\u00fccke in Fortinet-Firewalls, gelungen, nahezu uneingeschr\u00e4nkten Zugriff auf\u00a0 solche Instanzen zu erlangen.<\/p>\n

ArsTechnica gibt an, dass fast 74.000 Fortinet-Ger\u00e4te von mehr als 21.000 IP-Adressen in 194 L\u00e4ndern kompromittiert und ihre Anmeldedaten im Klartext online offengelegt wurden. ArsTechnica bezieht sich ebenfalls auf Bob Diachenko, Sicherheitsforscher und Leiter von SecurityDiscovery.com und dessen Post sowie Online-Interview. Kevin Beaumont nennt sogar fast 75.000 betroffene Ger\u00e4te, wobei die Daten echt und aktuell seien. Fast alle diese Fortinet Firewalls seien noch online.<\/p>\n

Diachenko gibt an, die Daten gefunden zu haben, nachdem er sich Zugang zum Command-and-Control-Server der Angreifer und zu weiterer Infrastruktur verschafft hatte. Die Daten stammen mutma\u00dflich aus Konfigurationsexporten der Ger\u00e4te, da sie Informationen enthalten, die nur auf dem Ger\u00e4t selbst sichtbar sind. Wie die Daten exportiert werden konnten, ist mir derzeit unklar – es wird eine Sicherheitsl\u00fccke vermutet.<\/p>\n

Zu den offengelegten Daten geh\u00f6rten laut Diachenko auch die Branche, der Umsatz und die Mitarbeiterzahl der einzelnen kompromittierten Unternehmen. Betroffen sind einige der weltweit gr\u00f6\u00dften und einflussreichsten Unternehmen, darunter Oracle, Chevron, Lenovo, Federal Express, einen NATO-R\u00fcstungszulieferer und Fortinet selbst.<\/p>\n

Nach meiner aktuellen Einsch\u00e4tzung, basierend auf obigen Informationen, gibt es das Problem, dass unbekannt ist, wie die Daten extrahiert werden konnten. Administratoren haben nur die M\u00f6glichkeit, die Firewalls offline zu nehmen – oder zumindest die Administrator-Kennw\u00f6rter zu \u00e4ndern. Bei letzterem ist das aber nur eine tempor\u00e4re Ma\u00dfnahme, solange unbekannt ist, wie die Angreifer an die Daten kommen, d.h. jederzeit das ge\u00e4nderte Administrator-Kennwort wieder abgreifen k\u00f6nnen.<\/p>\n

In den Kommentaren weiter unten wird erw\u00e4hnt<\/a>, dass das Abgreifen nur m\u00f6glich seit, weil das Administrator-Interface (Verwaltungszugang) wegen eines Konfigurationsfehlers per Internet erreichbar sei. Das kann, muss aber nicht stimmen, denn wir kennen die Schwachstelle, die diesen Angriff erm\u00f6glicht nicht. Wenn es wirklich Brute-Force-Passwort-Knack-Angriffe waren, die zur Offenlegung f\u00fchrten, hat der Kommentator Recht. Es w\u00e4re aber eine theoretisch eine Schwachstelle denkbar, die eine\u00a0 Umgehung des Verwaltungszugangs erm\u00f6glicht.<\/p>\n

Unternehmen wird zudem empfohlen, dass Sicherheitsverantwortliche ihre Netzwerke auf Anzeichen einer Kompromittierung untersuchen. Hudson Rock hat diese Suchmaschine<\/a> zur Ermittlung betroffener Domains bereitgestellt. Dort werden derzeit noch knapp unter 74.000 betroffene Systeme gelistet. Ich habe siemens[.]com probiert, da gibt es 6 Treffer, fedex[.]com, netcologne[.]de und mercedes-benz[.]com sind mit einem Treffer dabei. Auch eine Unternehmensdomain unter onmicrosoft[.]com ist mir untergekommen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Der n\u00e4chste Fall, bei dem bildlich gesprochen \"die H\u00fctte brennt\". Betreiber von Fortinet-Produkten laufen Gefahr, dass deren Instanzen von Angreifern \u00fcbernommen werden k\u00f6nnen. Hintergrund ist, dass bei den Instanzen die Passw\u00f6rter f\u00fcr den Administrator-Zugang geknackt wurden.\u00a0 Angreifer k\u00f6nnen die Installationen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8537,426,7459],"tags":[8371,24,4328,3836],"class_list":["post-326572","post","type-post","status-publish","format-standard","hentry","category-problem","category-sicherheit","category-software","tag-fortinet","tag-problem","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/326572","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=326572"}],"version-history":[{"count":7,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/326572\/revisions"}],"predecessor-version":[{"id":326580,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/326572\/revisions\/326580"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=326572"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=326572"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=326572"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}