Auf den Punkt: Angreifer haben weltweit etwa 75.000 Administratorpasswörter von Fortinet-Firewalls gesammelt, durch veraltete Hashing-Verfahren leicht geknackt und können damit dauerhaft auf betroffene Unternehmensnetzwerke zugreifen.
Eine groß angelegte Kampagne namens "FortiBleed" hat Administratorenpasswörter von etwa 75.000 internetgestützten Fortinet-FortiGate-Firewalls weltweit offengelegt. Betroffene Umgebungen sind dadurch Fernzugriff und dauerhaften Angriffen exponiert.
Sicherheitsforscher haben eine systematische Kampagne zur Sammlung von Administratorpasswörtern bei Fortinet-Geräten dokumentiert. Die Kampagne wurde zunächst von Sicherheitsforscher Volodymyr Diachenko auf LinkedIn gemeldet, der eine von Angreifern verwaltete Liste mit funktionsfähigen FortiGate-Passwörtern identifizierte. SOCRadar bestätigte die Erkenntnisse unabhängig durch Entdeckung eines operativen Servers eines unbekannten Akteurs, der neben der Passwortliste auch Konfigurationsdateien, Automatisierungswerkzeuge und eine Opferliste enthielt.
Nach Analyse durch SOCRadar, Hudson Rock und Kevin Beaumont wurden die Angreifer systematisch vorgehen: Sie extrahierten Konfigurationsdateien aus internetgestützten FortiGate-Firewalls und wiederhergestellten daraus Administratorpasswörter. Die anfängliche Zugriffsmethode ist noch unbekannt. Forscher vermuten, dass Passwörter über längere Zeit durch Ausnutzung mehrerer Schwachstellen in externen Fortinet-Anwendungen gesammelt wurden. Die Operationsweise und Tooling deuten nach SOCRadar auf russischsprachige Threat-Akteure hin, wobei die Attribution noch läuft. Betroffene Geräte verteilen sich auf 194 Länder, mit einer Konzentration in Indien (über 4.000), den USA und Mexiko. Die Kampagne ist hochautomatisiert und ermöglicht Angreifern, Anmeldedaten im großen Maßstab zu erfassen, zu verarbeiten und zu knacken.
Die potenzielle Auswirkung ist erheblich: Mit gültigen Administratorpasswörtern können Angreifer sich remote am Firewall-Gerät anmelden, unmittelbar auf das dahinterliegende Netzwerk zugreifen, Sicherheitseinstellungen ändern und Backdoor-Benutzerkonten erstellen. Beaumont warnte: „Die unbequeme Realität ist, dass moderne Ausnutzung nicht immer um sofortigen Schaden geht. Es geht darum, Daten zu sammeln, die lange nach dem Patchen der zugrundeliegenden Schwachstelle wertvoll bleiben.“
Ein Grund für die hohen Crack-Erfolgsquoten ist die Verwendung veralteter Passwort-Hashing-Verfahren. Viele betroffene Systeme nutzen SHA-256-basiertes Hashing, das deutlich anfälliger für Offline-Passwort-Attacken ist als neuere Mechanismen. Fortinet führte PBKDF2-basiertes Hashing in FortiOS 7.2.11, 7.4.8 und 7.6.1 ein. Allerdings bleiben beim Upgrade ältere Administrator-Passwörter als SHA-256-Hashes gespeichert, bis sich der Administrator nach dem Upgrade anmeldet. Dies führt dazu, dass viele Organisationen weiterhin ältere Hashing-Methoden verwenden.
Quelle: www.csoonline.com · Erschienen 18. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.