FortiBleed-Schwachstelle: 75.000 Fortinet-Firewalls weltweit von aktiven Angriffen betroffen

FortiBleed vulnerability Fortinet firewall compromise credential stuffing attack enterprise VPN security zero-trust architecture
E
Elena Voss

Senior Cybersecurity Analyst & Privacy Advocate

 
23. Juni 2026
6 Min. Lesezeit
FortiBleed-Schwachstelle: 75.000 Fortinet-Firewalls weltweit von aktiven Angriffen betroffen

TL;DR

  • ✓ FortiBleed nutzt exponierte Verwaltungsschnittstellen aus, keine Software-Schwachstellen.
  • ✓ Über 75.000 Fortinet-Geräte sind derzeit durch automatisiertes Credential-Stuffing kompromittiert.
  • ✓ Firmware-Patches entfernen keinen unbefugten Zugriff, sobald Anmeldedaten gestohlen wurden.
  • ✓ Angreifer etablieren „Ghost Access“, um Sicherheitsaudits zu umgehen.
  • ✓ Eine Zero-Trust-Architektur ist essenziell, um die öffentliche Sichtbarkeit von Admin-Portalen zu beschränken.

Die „FortiBleed“-Kampagne ist nicht nur eine weitere Schlagzeile. Sie markiert einen tektonischen Wandel in der Art und Weise, wie Angreifer die Sicherheit von Unternehmen aushebeln. Derzeit sind rund 75.000 mit dem Internet verbundene Fortinet-Firewalls und SSL-VPN-Gateways in 194 Ländern kompromittiert.

Das Entscheidende dabei: Es handelt sich nicht um einen Softwarefehler. Man kann nicht einfach auf „Update“ klicken und zur Tagesordnung übergehen. FortiBleed ist eine massive, automatisierte Maschine zum Diebstahl von Zugangsdaten. Sie nutzt das schmutzigste Geheimnis der Branche aus – unsere Abhängigkeit von statischen Passwörtern und Verwaltungsoberflächen, die offen im Internet zugänglich sind. Für Tausende von Unternehmen ist die hektische Suche nach Patches reine Ablenkung. Die Angreifer sind bereits im System und besitzen die Schlüssel zum Königreich.

Die Mechanik des Einbruchs: Wie 75.000 Geräte fielen

FortiBleed funktioniert, weil es in seiner Einfachheit brutal ist. Warum ein millionenschweres Zero-Day-Exploit verschwenden, wenn man einfach durch die Vordertür spazieren kann?

Angreifer nutzen hochentwickelte, automatisierte Botnetze, um öffentlich zugängliche Verwaltungsoberflächen mit Credential-Stuffing-Angriffen zu überfluten. Wenn Ihr IT-Team ein Verwaltungsportal oder einen VPN-Endpunkt offen im Web gelassen hat, stehen Sie auf der Liste. Diese Bots testen systematisch Millionen von geleakten oder durch Brute-Force ermittelten Passwörtern, bis sie einen Treffer landen.

Sobald sie drin sind, schaltet das Botnetz einen Gang höher. Es hört auf zu scannen und beginnt, sich festzusetzen. Sie müssen nicht den Code Ihrer Firewall umgehen; sie müssen sich nur wie ein legitimer Benutzer verhalten. Wie der Arctic Wolf FortiBleed Report aufzeigt, ist dieses Ausmaß beispiellos. Wir sprechen hier von kritischer Infrastruktur und staatlichen Stellen, die eigentlich als „gehärtete“ Ziele galten.

Das „No-Patch-Paradoxon“: Warum Firmware-Updates Sie nicht retten

In IT-Abteilungen kursiert derzeit ein gefährlicher Mythos: Wenn wir die Firmware patchen, sind wir sicher.

Falsch.

Stellen Sie es sich so vor: Ein Patch schließt eine Tür, die offen gelassen wurde. Aber im Fall von FortiBleed haben die Angreifer den Schlüssel bereits. Wenn Sie Ihre Firmware aktualisieren, schließen Sie lediglich eine Tür ab, in deren Raum bereits jemand steht. Ein Patch widerruft kein gestohlenes Sitzungs-Token. Er löscht nicht das „Hintertür“-Administratorkonto, das der Angreifer fünf Minuten nach seinem ersten Login erstellt hat.

Wenn sie sich mit gültigen Anmeldedaten authentifiziert haben, haben sie einen „Ghost Access“ etabliert. Sie betreiben persistente Tunnel, die Ihre Standard-Sicherheitsaudits umgehen. Da sie gültige Anmeldedaten verwenden, sieht ihre Aktivität genau wie die eines normalen Mitarbeiters aus, der sich von zu Hause aus einloggt. Für Ihre Intrusion-Detection-Systeme sind sie unsichtbar. Wenn Sie darauf setzen, dass ein Firmware-Update diese Bedrohung beseitigt, lassen Sie Ihr Netzwerk im Grunde genommen für die Hacker offen.

Sofortiger Aktionsplan: So sichern Sie Ihre Infrastruktur heute

Wenn Sie Fortinet-Hardware für den Fernzugriff verwenden, gehen Sie nicht länger davon aus, dass Sie sauber sind. Betrachten Sie dies als einen aktiven Sicherheitsvorfall. Hier ist Ihre taktische Checkliste, um die Kontrolle zurückzugewinnen.

Schritt 1: Das Audit Suchen Sie nicht länger nach Softwarefehlern. Suchen Sie nach ungewöhnlichem Verhalten. Durchforsten Sie Ihre VPN-Protokolle. Gibt es Logins aus geografischen Regionen, in denen Sie nicht geschäftlich tätig sind? Gibt es Logins um 3:00 Uhr morgens von unbekannten IP-Bereichen? Wenn es nicht Ihrem Standard entspricht, gehen Sie von einem Alarmzeichen aus.

Schritt 2: Der Reset Die Rotation von Anmeldedaten ist keine „Best Practice“ mehr – sie ist eine Überlebensstrategie. Führen Sie einen globalen Reset aller VPN- und Admin-Passwörter durch. Erlauben Sie Benutzern nicht, alte Passwörter wiederzuverwenden, und wenn ein Dienstkonto auch nur im Geringsten verdächtig aussieht, löschen Sie es sofort.

Schritt 3: MFA-Durchsetzung Wenn Sie für Ihr VPN immer noch eine Ein-Faktor-Authentifizierung verwenden, übergeben Sie die Schlüssel zu Ihrem Netzwerk im Grunde jedem, der ein Botnetz besitzt. Stellen Sie die Multi-Faktor-Authentifizierung (MFA) für jeden einzelnen Zugangspunkt von „empfohlen“ auf „verpflichtend“ um. Wenn ein Gerät kein MFA unterstützt? Nehmen Sie es heute vom öffentlichen Netz.

Jenseits des Perimeters: Übergang zu Zero-Trust

Das FortiBleed-Chaos ist eine brutale Erinnerung daran, dass das Sicherheitsmodell „Harte Schale, weicher Kern“ offiziell tot ist. Der Perimeter ist durchlässig. Das Netzwerk ist kein sicherer Hafen. Der einzige Weg zum Sieg besteht darin, nicht mehr davon auszugehen, dass „erfolgreicher Login“ gleich „vertrauenswürdiger Benutzer“ bedeutet.

Wir müssen uns in Richtung einer Zero-Trust-Architektur (ZTA) bewegen. Dies macht gestohlene Anmeldedaten deutlich weniger wertvoll. Durch die Durchsetzung identitätsbasierter Zugriffe – die Überprüfung von Benutzerkontext, Geräteintegrität und Verhaltensmustern bei jeder einzelnen Anfrage – verlassen Sie sich nicht mehr allein auf die Firewall als einzige Quelle der Wahrheit. Wie im NIST Zero Trust Architecture Guide dargelegt, besteht das Ziel darin, von „Vertrauen, aber überprüfen“ zu „Niemals vertrauen, immer überprüfen“ zu wechseln.

Proaktive Bedrohungssuche: Frühzeitiges Erkennen

Sie können ein Botnetz nicht mit manuellen Log-Überprüfungen bekämpfen. Das ist ein verlorener Kampf. Sie benötigen eine Mustererkennungs-Engine, die Geografie, Zeit und Häufigkeit korreliert, um Anomalien in Echtzeit zu erkennen.

Indem Sie sich auf diese Verkehrsmuster konzentrieren, können Sie die Angreifer stoppen, bevor sie sich seitlich in Ihre Kernserver bewegen. So werden Sie vom reaktiven Ziel zum proaktiven Jäger.

Die Zukunft: Härtung Ihres Gateways

Die Zeiten, in denen Verwaltungsoberflächen dem öffentlichen Internet ausgesetzt waren, sind vorbei. Wenn eine Schnittstelle nicht aus dem globalen Web erreichbar sein muss, verstecken Sie sie hinter einer Jump-Box, einem privaten Netzwerk oder einer ZTNA-Lösung.

Überprüfen Sie außerdem den Gerätezustand. Bevor ein VPN-Tunnel geöffnet werden darf, sollte das Gateway verifizieren, dass das Gerät verschlüsselt, gepatcht und konform mit der Unternehmensrichtlinie ist. Wie in aktuellen CISA-Warnungen zur VPN-Sicherheit vermerkt, ist die Verwundbarkeit dieser Gateways das Ziel Nr. 1 für böswillige Akteure.

Häufig gestellte Fragen

Schützt mich das Patchen meiner Fortinet-Firewall vor FortiBleed?

Nein. Patchen ist für die allgemeine Sicherheit notwendig, aber da FortiBleed auf gültigen Anmeldedaten basiert, die bereits gestohlen wurden, vertreibt ein Firmware-Update keinen Eindringling, der bereits authentifiziert ist. Sie müssen einen Reset der Anmeldedaten erzwingen und MFA vorschreiben.

Woher weiß ich, ob mein Gerät Teil der 75.000 kompromittierten Firewalls war?

Überprüfen Sie Ihre VPN- und Management-Logs auf ungewöhnliche Login-Zeiten, unerwartete geografische Standorte und ungewöhnliche Konfigurationsänderungen. Wenn Sie nicht autorisierte Aktivitäten finden, die von Ihrem Standard abweichen, sollten Sie davon ausgehen, dass Ihr Gerät kompromittiert wurde.

Warum war dieser Angriff so erfolgreich?

Der Angriff war erfolgreich, weil er die „leicht erreichbaren Ziele“ wie schlechte Passwort-Hygiene und exponierte Verwaltungsoberflächen ausnutzte. Durch die Automatisierung des Tests gestohlener Anmeldedaten konnten Angreifer traditionelle Perimeter-Verteidigungen umgehen, ohne eine einzige Softwareschwachstelle finden zu müssen.

Sollte ich meine Anmeldedaten auch dann zurücksetzen, wenn ich noch keine verdächtigen Aktivitäten gesehen habe?

Ja. Angesichts des Ausmaßes der FortiBleed-Kampagne ist es sicherer anzunehmen, dass Ihre Anmeldedaten bei einem früheren, unabhängigen Datenleck entwendet wurden und nun vom Botnetz verwendet werden. Eine proaktive Rotation der Anmeldedaten ist der effektivste Weg, um bestehende Zugriffe der Angreifer zu entwerten.

Wie verhindert Zero Trust diese Art von Credential-Stuffing-Angriffen?

Die Zero-Trust-Architektur entfernt das inhärente Vertrauen, das einem erfolgreichen Login entgegengebracht wird. Durch die kontinuierliche Verifizierung von Benutzeridentität, Gerätezustand und Kontext stellt ZTA sicher, dass ein Angreifer selbst mit einem gültigen Passwort nicht auf sensible Ressourcen zugreifen kann, ohne zusätzliche, dynamische Sicherheitsanforderungen zu erfüllen.

E
Elena Voss

Senior Cybersecurity Analyst & Privacy Advocate

 

Elena Voss is a former penetration tester turned cybersecurity journalist with over 12 years of experience in the information security industry. After working with Fortune 500 companies to identify vulnerabilities in their networks, she transitioned to writing full-time to make complex security concepts accessible to everyday users. Elena holds a CISSP certification and a Master's degree in Information Assurance from Carnegie Mellon University. She is passionate about helping non-technical readers understand why digital privacy matters and how they can protect themselves online.

Verwandte Nachrichten

FortiBleed Data Leak Exposes 74,000 Fortinet Firewall Credentials in Active Enterprise Network Attacks
FortiBleed

FortiBleed Data Leak Exposes 74,000 Fortinet Firewall Credentials in Active Enterprise Network Attacks

FortiBleed exposes 74,000+ Fortinet VPN credentials. Learn how hackers used GPU-cracking rigs to breach enterprise networks and what you must do to secure your systems.

Von Viktor Sokolov 24. Juni 2026 4 Min. Lesezeit
common.read_full_article
AI-Driven Identity Attacks and Advanced Phishing Campaigns Surge in 2026 Threat Landscape Report
AI-driven identity attacks

AI-Driven Identity Attacks and Advanced Phishing Campaigns Surge in 2026 Threat Landscape Report

Identity is the new perimeter. Discover how AI-driven phishing, agentic AI risks, and shadow operations are reshaping the 2026 cybersecurity threat landscape.

Von James Okoro 22. Juni 2026 5 Min. Lesezeit
common.read_full_article
Check Point Issues Urgent Warning Over Actively Exploited VPN Zero-Day Linked to Qilin Ransomware
Check Point VPN zero-day

Check Point Issues Urgent Warning Over Actively Exploited VPN Zero-Day Linked to Qilin Ransomware

Check Point issues urgent warning as Qilin ransomware exploits a zero-day VPN vulnerability. Learn how to secure your enterprise network against this active threat.

Von Marcus Chen 18. Juni 2026 5 Min. Lesezeit
common.read_full_article
CISA Issues Emergency Directive Requiring Federal Agencies to Patch Critical Check Point VPN Vulnerability
CVE-2026-50751

CISA Issues Emergency Directive Requiring Federal Agencies to Patch Critical Check Point VPN Vulnerability

CISA mandates federal agencies patch a critical Check Point VPN vulnerability (CVE-2026-50751) within 72 hours due to active Qilin ransomware exploitation.

Von Elena Voss 17. Juni 2026 3 Min. Lesezeit
common.read_full_article