Cybersicherheitsexperten schlagen Alarm: Eine neue Angriffswelle zielt gezielt auf FortiGate Next-Generation Firewalls (NGFW) ab, um diese als Sprungbrett in Unternehmensnetze zu missbrauchen.
In ihrer aktuellen Analyse dokumentiert das Sicherheitsunternehmen SentinelOne, wie Bedrohungsakteure bekannte Schwachstellen oder schwache Authentifizierungsmechanismen ausnutzen, um Konfigurationsdateien mit Service-Account-Zugangsdaten und Netzwerk-Topologie-Informationen zu extrahieren. Healthcare-Einrichtungen, Behörden und Managed-Service-Provider stehen dabei besonders im Fokus.
“FortiGate-Appliances haben umfassenden Zugriff auf die Netzwerk-Umgebungen, die sie schützen sollen”, erklären die SentinelOne-Forscher Alex Delamotte, Stephen Bromfield, Mary Braden Murphy und Amey Patne. “In vielen Konfigurationen umfasst dies Service-Accounts, die mit der Authentifizierungsinfrastruktur wie Active Directory (AD) und LDAP verbunden sind.” Dieses Setup ermöglicht es den Geräten, Benutzerrollen zu identifizieren und Sicherheitsrichtlinien entsprechend anzuwenden. Doch genau diese Fähigkeit wird zur Sicherheitslücke, wenn Angreifer die FortiGate-Systeme kompromittieren.
Bekannte Schwachstellen wie CVE-2025-59718, CVE-2025-59719 und CVE-2026-24858 dienen als Einfallstore. In einem dokumentierten Fall drangen Angreifer im November 2025 in eine FortiGate-Appliance ein und erstellten einen neuen Administrator-Account namens “support”. Sie konfigurierten anschließend vier Firewall-Policies, um uneingeschränkten Zugriff auf alle Netzwerk-Zonen zu erlangen.
Das Muster deutet auf Initial Access Broker hin – spezialisierte Cyberkriminelle, die Zugriff etablieren und diesen an andere Angreifer verkaufen. Im Februar 2026 folgte die nächste Phase: Ein Angreifer extrahierte die Konfigurationsdatei mit verschlüsselten LDAP-Zugangsdaten. SentinelOne konnte nachweisen, dass der Täter die Datei entschlüsselte und mit den erbeuteten Service-Account-Anmeldedaten ins Active Directory eindrang. Anschließend registrierte der Angreifer manipulierte Workstations im Netzwerk, um sein Einflussgebiet zu erweitern. Ein Netzwerk-Scan führte schließlich zur Erkennung und Unterbrechung des Angriffs.
In einem weiteren Fall im Januar 2026 vollzog sich der Angriff rasant: Von der Firewall-Kompromittierung zum Deployment von Remote-Access-Tools wie Pulseway und MeshAgent. Der Angreifer lud Malware über PowerShell aus einem AWS-Cloud-Storage herunter. Die Java-basierte Schadsoftware, die per DLL-Sideloading ausgeführt wurde, exfiltrierte NTDS.dit-Dateien und System-Registry-Daten auf einen externen Server (172.67.196[.]232) über Port 443.
Obwohl der Angreifer möglicherweise Passwörter knacken wollte, konnte SentinelOne keine derartige Aktivität vor der Incident-Eindämmung feststellen.
“NGFW-Appliances sind für Organisationen attraktiv geworden, weil sie starke Netzwerk-Überwachung mit integrierten Sicherheitskontrollen bieten”, bilanziert SentinelOne. “Allerdings sind diese Geräte auch hochwertige Ziele für verschiedenste Angreifer – von staatlich unterstützten Akteuren bis hin zu finanziell motivierten Ransomware-Banden.”