Auf den Punkt: Fortinet-Administratoren müssen sofort Passwörter zurücksetzen, Management-Interfaces vom Internet isolieren und Multi-Faktor-Authentifizierung flächendeckend aktivieren, um das Risiko der organisierten Credential-Missbrauch-Kampagne zu senken.
Ein Sicherheitsforscher hat rund 75.000 kompromittierte Zugangsdaten für Fortinet-Firewalls entdeckt, die sich auf nahezu 200 Länder verteilen und mehr als 20.000 Unternehmen betreffen. Anders als übliche Exploit-Angriffe nutzen die Täter hier bekannte Standardpasswörter und fehlende Passwortwechsel aus.
Vergangenes Wochenende wurde eine strukturierte Sammlung gestohlener Zugangsdaten für Fortinet-Systeme veröffentlicht, deren Echtheit Sicherheitsexperten und das Unternehmen Hudson Rock bestätigten. Die kompromittierten Daten betreffen etwa 75.000 Fortinet-Geräte über alle 200 Länder verteilt und gehören mehr als 20.000 Unternehmen, Organisationen und Domains. Das Incident wird als „FortiBleed“ bezeichnet.
Die Angriffsmethodik unterscheidet sich grundlegend von klassischen Exploit-Angriffen: Die Täter nutzen keine unbekannten Schwachstellen, sondern exploitieren, dass viele Organisationen Standard-Passwörter nicht ändern oder bereits bekannte Zugangsdaten für öffentlich erreichbare Management-Interfaces verwenden. Die Angreifer scannen das Internet automatisiert nach exponierten Fortinet-Systemen, kompromittieren diese mit Listen bekannter Credentials und nutzen die Geräte als „Abhörposten“, um Netzwerkverkehr zu überwachen und zusätzliche Zugangsdaten abzufangen. Laut Hudson Rock greifen die Täter dabei über einfaches Credential-Stuffing hinaus und brechen abgefangene Passwort-Hashes mit GPU-Clustern auf, um sie bestehenden Listen hinzuzufügen.
Obwohl derzeit keine bekannten Folgeangriffe dokumentiert sind, deuten die strukturierte Natur des Leaks und die finanzielle Motivationslage der Täter darauf hin, dass eine schnelle Ausnutzung der gestohlenen Daten wahrscheinlich ist, solange betroffene Organisationen keine Gegenmaßnahmen eingeleitet haben.
Verantwortliche sollten unmittelbar handeln: (1) Alle Fortinet-Systeme auf den neuesten Patch-Stand aktualisieren; (2) Management-Interfaces nicht direkt aus dem Internet erreichbar machen; (3) nach dem Update auf aktuelle FortiOS-Version einen erzwungenen Passwortwechsel für alle Admin-Accounts durchführen, um die Nutzung des sichereren PBKDF2-Verfahrens zu erzwingen; (4) Multi-Faktor-Authentifizierung flächendeckend für alle externen Zugänge und Admin-Interfaces aktivieren. Hudson Rock stellt unter hudsonrock.com/fortinet ein kostenloses Tool bereit, mit dem Organisationen prüfen können, ob ihre Domain im kompromittierten Datensatz auftaucht.
Quelle: www.cert.at · Erschienen 18. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.