FortiBleed, Firewalls

FortiBleed: 75.000 Firewalls kompromittiert – Samsung bis Oracle betroffen

17.06.2026 - 22:17:31 | boerse-global.de

Die FortiBleed-Kampagne kompromittierte bis zu 75.000 Fortinet-Firewalls weltweit und legte Zugangsdaten von Großkonzernen und Behörden offen.

FortiBleed: Massive Passwortdiebstahl-Kampagne trifft Zehntausende Firewalls
FortiBleed - A digital padlock icon superimposed over a complex network of glowing data lines, representing a cybersecurity breach. 17.06.2026 - Bild: über boerse-global.de

Eine beispiellose Operation zur Erbeutung von Zugangsdaten hat weltweit Zehntausende Fortinet-Firewall-Geräte kompromittiert. Sicherheitsforscher enthüllten Mitte Juni 2026 das Ausmaß der als "FortiBleed" bekannten Kampagne, die sensible Zugangsdaten von Großkonzernen, Regierungsbehörden und kritischen Infrastrukturen in 194 Ländern offenlegt.

Anzeige

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenlosen Sicherheits-Ratgeber herunterladen

Das Ausmaß der FortiBleed-Kampagne

Zwischen 30.000 und 75.000 Fortinet-Geräte sind betroffen. Sicherheitsexperten von Hudson Rock identifizierten 73.932 eindeutige Firewall-URLs und 21.632 betroffene Domains. Der Cybersicherheitsexperte Kevin Beaumont bestätigte die Echtheit der Daten und warnte, dass die meisten der rund 75.000 betroffenen Geräte weiterhin online seien.

Die Liste der betroffenen Organisationen liest sich wie ein Who's Who der Weltwirtschaft: Samsung, Foxconn, Siemens, Lenovo, Oracle und Comcast sind ebenso darunter wie die Beratungsriesen PwC und Accenture. Auch Toyota, Mercedes-Benz, Chevron und Sinopec wurden als betroffen identifiziert.

Geografisch zeigt sich ein klares Bild: Indien führt die Statistik mit 9.629 Kompromittierungen an, gefolgt von den USA mit 6.352 und Taiwan mit 3.637. Weitere Schwerpunkte liegen in Mexiko, der Türkei, Japan und Vietnam. Auffällig: Innerhalb der NATO-Staaten ist die Konzentration der Opfer besonders hoch.

Wie die Angreifer vorgingen

Anders als viele befürchten, nutzt FortiBleed keine bislang unbekannte Sicherheitslücke in Fortinets Systemen. Stattdessen handelt es sich um einen massiven Credential-Theft – einen Diebstahl von Zugangsdaten in nie dagewesenem Ausmaß. Eine mutmaßlich russischsprachige Gruppe setzte auf bereits geleakte Zugangsdaten und Logs von Infostealer-Malware, um systematisch Passwörter durchzuprobieren.

Die technischen Details sind beeindruckend – und erschreckend zugleich: Die Angreifer führten 1,16 Milliarden Anmeldeversuche gegen 320.777 FortiGate-Ziele durch. Parallel dazu starteten sie 2,1 Milliarden Brute-Force-Angriffe auf über 160.000 MSSQL-Server. Zum Knacken der Passwort-Hashes setzte die Gruppe einen 45-GPU-Cluster mit der Hashtopolis-Plattform ein.

Anzeige

4,7 Millionen gehackte Konten pro Quartal in Deutschland – sind Sie der Nächste? Experten warnen: Wer noch Passwörter nutzt, geht ein unnötiges Risiko ein. So schützen Sie sich jetzt kostenlos. Sicherer Schutz durch Passkeys – Gratis-Report

Besonders perfide: Einmal kompromittiert, dient jedes Gerät als Abhörstation für weitere Zugangsdaten – ein sich selbst verstärkender Kreislauf. Sicherheitsanalysten betonen, dass selbst komplexe Passwörter verwundbar waren, sofern sie bereits bei früheren Angriffen gestohlen wurden. Ältere FortiOS-Versionen, die Administrationspasswörter als SHA-256-Hashes speicherten, erwiesen sich als besonders anfällig.

Gleichzeitige Ausnutzung kritischer Sicherheitslücken

Während FortiBleed auf wiederverwendete Zugangsdaten setzt, werden parallel gezielt Sicherheitslücken in Fortinets Produkten ausgenutzt. In den vergangenen Tagen beobachteten Sicherheitsdienste die aktive Ausnutzung von drei kürzlich geschlossenen Schwachstellen in FortiSandbox:

  • CVE-2026-39808: Kritische OS-Command-Injection – erste Angriffe bereits am 12. Juni
  • CVE-2026-39813: Kritischer Authentifizierungs-Bypass – aktive Ausnutzung seit dem 15. Juni
  • CVE-2026-25089: Ermöglicht Remote-Code-Ausführung

Auch FortiClient EMS ist betroffen: Die Schwachstellen CVE-2026-21643 und CVE-2026-35616 werden offenbar von Angreifern gezielt ins Visier genommen.

Handlungsempfehlungen für Unternehmen

Die US-Cybersicherheitsbehörde CISA hat ihre Bedrohungsregister aktualisiert. Experten raten Unternehmen mit Fortinet-Produkten zu sofortigem Handeln:

  • Konfigurationen überprüfen und auf aktuelle Firmware aktualisieren
  • Sichere Hash-Verfahren wie PBKDF2 nutzen
  • Multi-Faktor-Authentifizierung einführen, um passwortbasierte Angriffe zu erschweren

Die FortiBleed-Kampagne zeigt einmal mehr: Selbst die beste Firewall nützt nichts, wenn die Zugangsdaten bereits in den falschen Händen sind. Für viele der betroffenen Unternehmen kommt die Warnung jedoch zu spät – ihre Netzwerke sind bereits kompromittiert.

de | wissenschaft | 69566618 |