Fortinet: FortiBleed nutzt alte Zugangsdaten und Brute-Force statt neuer Schwachstelle

Zusammenfassung

Fortinet hat zu der laufenden Kampagne „FortiBleed“ Stellung genommen und betont, dass die Angriffe auf Firewalls und VPNs seiner Kunden nicht auf einer neuen Schwachstelle beruhen. Nach Angaben des Unternehmens haben die Angreifer im Rahmen der Kampagne eine Datenbank mit mehr als 86.000 bestätigten, funktionsfähigen Zugangsdaten für Fortinet-Geräte in 194 Ländern aufgebaut. Fortinet geht nach einer ersten Analyse davon aus, dass die Täter Zugangsdaten aus früheren Sicherheitsvorfällen erneut verwenden und zusätzlich Brute-Force-Methoden gegen Systeme mit schwacher Passwortpraxis und ohne Multi-Faktor-Authentifizierung einsetzen. Relevanz bekommt der Fall vor allem durch die Größenordnung der erfassten Zugangsdaten und die internationale Verbreitung. Zugleich verweist Fortinet darauf, dass die Aktivität weder mit einer neuen Fortinet-Schwachstelle noch mit einem jüngsten Sicherheitsvorfall oder einer aktuellen Warnmeldung zusammenhänge. Das Unternehmen hat nach eigenen Angaben potenziell kompromittierte Systeme identifiziert, benachrichtigt betroffene Kunden und arbeitet mit Strafverfolgungsbehörden an der Untersuchung der Angriffe.

Fortinet beschreibt FortiBleed als groß angelegte Kampagne zum Abgreifen von Zugangsdaten, die derzeit Firewalls und VPNs von Kunden des Herstellers ins Visier nimmt. Im Zentrum steht laut Unternehmen keine neue Sicherheitslücke, sondern die Wiederverwendung bereits kompromittierter Anmeldedaten in Verbindung mit Brute-Force-Angriffen auf schlecht geschützte Geräte.

Nach Angaben von Fortinet umfasst die von den Angreifern zusammengestellte Datenbank mehr als 86.000 bestätigte, funktionsfähige Zugangsdaten für Fortinet-Geräte in 194 Ländern. In einer ersten Einschätzung erklärt der Hersteller, dass die Aktivität auf Zugangsdaten aus früheren Vorfällen zurückgreife und gezielt Systeme ohne Multi-Faktor-Authentifizierung sowie mit schwacher Passwortsicherheit angreife.

Die von Fortinet erwähnten früheren Vorfälle standen demnach mit der Ausnutzung von drei Authentifizierungsumgehungen beim FortiCloud-SSO-Login in Verbindung. Dabei handelt es sich um CVE-2026-24858, die im Januar behoben wurde, sowie um CVE-2025-59718 und CVE-2025-59719, die im Dezember adressiert wurden. Fortinet erinnert daran, dass das Unternehmen bereits damals detaillierte Handlungsempfehlungen veröffentlicht habe und Kunden sicherstellen sollten, dass diese Abhilfemaßnahmen umgesetzt wurden.

Bereits im März hatte der Hersteller davor gewarnt, dass Bedrohungsakteure künstliche Intelligenz einsetzen, um die Zielauswahl zu automatisieren und Password-Spraying in groß angelegten Angriffen auf unzureichend geschützte Edge-Geräte durchzuführen. Genau diese Techniken würden nun auch bei FortiBleed genutzt, so Fortinet. Mit einer neuen Fortinet-Schwachstelle habe die Kampagne jedoch nichts zu tun. Wörtlich erklärt das Unternehmen, diese Aktivität stehe „nicht im Zusammenhang mit einem jüngsten Vorfall oder einer aktuellen Warnmeldung“.

Fortinet teilt außerdem mit, potenziell kompromittierte Systeme identifiziert und bereits damit begonnen zu haben, betroffene Kunden zu benachrichtigen. Parallel arbeite das Unternehmen mit Strafverfolgungsbehörden zusammen, um die Angriffe zu untersuchen.

Kunden mit kompromittierten FortiGate-Instanzen rät Fortinet, Administrator- und VPN-Sitzungen zu beenden, Zugangsdaten auszutauschen, Multi-Faktor-Authentifizierung für alle Administrator- und VPN-Benutzerkonten einzuführen und auf Softwareversionen zu aktualisieren, die PBKDF2-Hashing für Administrator-Zugangsdaten unterstützen.

Darüber hinaus sollten betroffene Organisationen Firewall- und VPN-Benutzerkonten sowie Konfigurationen auf unbefugte Änderungen prüfen, Protokolle auf unerwartete Administratorzugriffe kontrollieren und die externe Verwaltung auf vertrauenswürdige Hosts beschränken, um die Angriffsfläche zu reduzieren.

Fortinet: FortiBleed nutzt alte Zugangsdaten und Brute-Force statt neuer Schwachstelle

Ähnliche Artikel

Neueste Artikel