Zum Inhalt springen

Angriffswelle gegen FortiGate: Credentials aus früheren Vorfällen

Auf den Punkt: Angreifer exfiltrieren Konfigurationen von FortiGate-Geräten, brechen SHA-256-gehashte Admin-Passwörter offline und gewinnen administrativen Zugriff, ohne eine neue Schwachstelle auszunutzen.

Angreifer nutzen kompromittierte Zugangsdaten aus vorherigen Sicherheitsvorfällen und schwache Passworthygiene, um administrativen Zugriff auf FortiGate-Geräte zu erlangen. Fortinet hat am 19. Mai 2026 eine offizielle Stellungnahme zur "FortiBleed"-Angriffswelle veröffentlicht.

Bei der “FortiBleed”-Angriffswelle handelt es sich nicht um die Ausnutzung einer neuen Sicherheitslücke. Vielmehr verwenden Angreifer Zugangsdaten, die bei früheren Vorfällen in Zusammenhang mit CVE-2025-59718, CVE-2025-59719 und CVE-2026-24858 erlangt wurden, sowie Brute-Force-Angriffe gegen Geräte mit schwacher Passworthygiene und fehlender Multi-Faktor-Authentifizierung (MFA). Sicherheitsforscher berichten von einer großen Anzahl betroffener Geräte weltweit.

Die hohe Erfolgsquote resultiert aus einer Hashfunktions-Schwachstelle: Administrator-Passwörter auf FortiGate-Geräten bis FortiOS 7.2.11, 7.4.8 und 7.6.1 werden mit dem schwächeren SHA-256-Verfahren gehasht. Kritisch ist, dass diese schwachen Hashes auch nach einem Update auf neuere Versionen bestehen bleiben – solange sich der Administrator nicht neu anmeldet. Wenn Angreifer Konfigurationsexporte erlangen, können sie die darin enthaltenen Passwort-Hashes offline mit Brute-Force-Methoden kompromittieren.

Mit gültigen, kompromittierten Zugangsdaten erhalten Angreifer administrativen Zugriff auf betroffene Geräte. Daraus folgt das Anlegen zusätzlicher Administrator-Konten zur Persistenz, das Exportieren der Gerätekonfiguration, das Abhören von VPN- und Authentifizierungsverkehr sowie die Vorbereitung lateraler Bewegung in interne Netzwerke – etwa in angebundene Active-Directory-Umgebungen. Bei Telekommunikationsanbietern und Managed Service Providern können Angreifer über kompromittierte Geräte auch in Kundennetzwerke eindringen.

Betroffene Systeme sind FortiGate-Geräte mit Administrator-Konten, deren Passwörter nicht seit einem Update auf FortiOS 7.2.11, 7.4.8, 7.6.1 oder neuer durch erneute Anmeldung auf PBKDF2 umgestellt wurden; Geräte mit öffentlich erreichbaren Management Interfaces oder SSL-VPN-Zugang ohne MFA; sowie Geräte, die möglicherweise bereits durch die genannten früheren Vorfälle beeinträchtigt wurden.

Fortinet empfiehlt als Sofortmaßnahmen: alle aktiven administrativen und VPN-Sitzungen beenden und sämtliche Passwörter zurücksetzen; MFA für alle Administrator- und VPN-Benutzer-Konten aktivieren; Update auf FortiOS 7.4, 7.6 oder 8.0 durchführen und nach dem Update sicherstellen, dass sich alle Administratoren mindestens einmal neu anmelden (damit Passwörter auf PBKDF2 umgehasht werden). Auf FortiOS 7.2.x und 7.4.x kann zusätzlich die Option login-lockout-upon-weaker-encryption in den Passwortrichtlinien aktiviert werden. Schließlich sollte die Konfiguration auf nicht autorisierte Änderungen überprüft werden, idealerweise im Vergleich zu einer bekannt unveränderten Referenzkonfiguration.


Quelle: www.cert.at · Erschienen 22. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.

Share on: