FortiBleed: 86.644 Firewalls weltweit kompromittiert – auch deutsche Unternehmen betroffen
20.06.2026 - 08:53:20 | boerse-global.de
Die US-Sicherheitsbehörde CISA hat eine dringende Warnung zu einer weltweiten Sicherheitskampagne gegen Fortinet-Firewalls herausgegeben. Unter dem Namen „FortiBleed“ wurden Zugangsdaten von Zehntausenden Geräten gestohlen – auch Unternehmen in Deutschland könnten betroffen sein.
Hunderttausende Geräte im Visier der Angreifer
Die Dimension des Angriffs ist gewaltig. Laut CISA sind rund 74.000 Geräte betroffen, während Sicherheitsforscher von SOCRadar sogar 86.644 bestätigte kompromittierte Zugänge in 194 Ländern identifiziert haben. Insgesamt sollen die Angreifer 1,16 Milliarden Anmeldeversuche auf 320.000 FortiGate-Endpunkte durchgeführt haben.
Anzeige: Die CISA warnt vor 86.644 kompromittierten FortiGate-Geräten – auch deutsche Unternehmen sind betroffen. 35% der Zugänge nutzen noch Standard-Admin-Konten. Dieser Report liefert Ihnen eine Sofort-Checkliste zur Firewall-Härtung und einen MFA-Leitfaden. Jetzt kostenlosen Sicherheits-Report anfordern
Besonders besorgniserregend: Betroffen sind kritische Infrastrukturen wie Telekommunikation, Regierungsnetze, Bildungseinrichtungen, Gesundheitswesen, Finanzsektor und Fertigungsindustrie. Zu den prominenten Opfern zählen unter anderem Samsung, Mercedes-Benz, Foxconn, Chevron, Comcast, AT&T und Toyota. Die am stärksten betroffenen Regionen sind Indien, die USA, Mexiko, Taiwan, Kolumbien und Thailand.
Kein neuer Bug, sondern alte Fehler
Entgegen erster Vermutungen handelt es sich bei FortiBleed nicht um eine neu entdeckte Sicherheitslücke. Fortinet stellte am 19. Juni klar, dass die Angreifer auf bereits bekannte Schwachstellen setzen – konkret auf die Kennungen FG-IR-26-060 und FG-IR-25-647. Die Taktik: Credential-Stuffing und Brute-Force-Angriffe, bei denen gestohlene oder schwache Passwörter systematisch durchprobiert werden.
Hinter der Kampagne stecken offenbar russischsprachige Akteure. Die Sicherheitsfirma CloudSEK entdeckte auf einem Angreifer-Server ein offenes Verzeichnis mit 319 Dateien, darunter Scan-Skripte und eine komplexe Knack-Infrastruktur. Diese nutzte 36 Grafikkarten über gemietete Cloud-Dienste, um Passwort-Hashes zu entschlüsseln.
Alarmierende Sicherheitsmängel bei Unternehmen
Besonders brisant: Ein großer Teil der kompromittierten Zugänge bestand aus Standard- oder Standard-Admin-Konten. Ganze 35 Prozent waren generische Administrator-Accounts, weitere 28,3 Prozent systemeigene Konten. Das deutet darauf hin, dass viele Organisationen grundlegende Sicherheitseinstellungen nie angepasst haben.
Die Angreifer organisierten ihre Beute in mehreren Schichten: Eine Ebene enthielt FortiOS-Zugangsdaten, eine weitere Kerberos-Hashes, die mit internen Active-Directory-Domänen verknüpft waren. Das ermöglicht potenziell tiefe Einblicke in Unternehmensnetzwerke.
Sofortmaßnahmen für betroffene Unternehmen
Obwohl FortiBleed keine eigene CVE-Kennung trägt, verweisen Sicherheitsexperten auf verwandte Schwachstellen wie CVE-2026-24858, CVE-2025-59718 und CVE-2025-59719, die Authentifizierungsumgehungen bei FortiCloud betreffen.
Anzeige: Angreifer haben über Kerberos-Hashes Zugriff auf interne Active-Directory-Domänen erlangt. Prüfen Sie mit unserem Log-Analyse-Worksheet, ob Ihr Netzwerk bereits kompromittiert ist – und wie Sie weitere Schäden verhindern. Active-Directory-Sicherheits-Check jetzt sichern
CISA und Fortinet empfehlen dringend:
- Alle aktiven Sitzungen beenden und sofortige Passwortzurücksetzungen für alle Nutzer erzwingen
- Multi-Faktor-Authentifizierung (MFA) für alle Konten aktivieren, besonders für administrative Zugänge
- Update auf FortiOS 7.4, 7.6 oder 8.0 für verbesserte PBKDF2-Passwortverschlüsselung
- Managementzugriff auf vertrauenswürdige IP-Adressen beschränken
- Gründliche Log-Analyse auf unbefugte Zugriffe oder Folgeaktivitäten
Das britische National Cyber Security Centre (NCSC) stuft die Kampagne als global ein und warnt vor automatisierten Massen-Scans, die gezielt nach verwundbaren Fortinet-Endpunkten suchen. Unternehmen sollten ihre Systeme umgehend überprüfen – die Gefahr weiterer Kompromittierungen ist akut.
