Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 18.06.2026 · 6 min Lesezeit

Fortinet Firewalls: Berichte über massive Kompromittierung von FortiGate Zugängen

Berichte über zehntausende kompromittierte Fortinet FortiGate Firewalls zeigen, wie kritisch exponierte VPN und Management Zugänge sind. Admins sollten Firmware, MFA, Logs und Zugangsdaten prüfen.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Fortinet Firewalls: Kompromittierte FortiGate Zugänge mit Warnsymbolen, Angriffsnetzwerk und deaktivierter Cloud im modernen Cybersecurity News Stil.

Sicherheitsforscher berichten über eine außergewöhnlich große Angriffskampagne gegen öffentlich erreichbare Fortinet FortiGate Installationen. Nach Angaben von Infostealers und WinFuture sollen rund 74.000 bis 75.000 Firewalls in 194 Ländern betroffen sein. Die Angreifer hatten es offenbar nicht nur auf einzelne Geräte abgesehen, sondern auf verwertbare Zugangsdaten, VPN-Zugänge und Informationen über interne Unternehmensnetze. Für Administratoren ist der Fall besonders relevant, weil Firewalls und VPN-Gateways häufig direkt an der Netzgrenze stehen und ein erfolgreicher Zugriff schnell zum Einstieg in Active Directory, interne Server und Cloud-Dienste werden kann.

Was bekannt ist

Ausgangspunkt der aktuellen Berichte ist eine Untersuchung rund um eine Kampagne, die unter dem Namen FortiBleed beschrieben wird. Laut Infostealers wurden Datensätze zu tausenden kompromittierten Fortinet Geräten gefunden. Die Angaben umfassen demnach unter anderem Hostnamen, IP-Adressen, Benutzernamen, Passwörter und ergänzende Unternehmensinformationen. WinFuture berichtet zusätzlich, dass der Sicherheitsforscher Bob Diachenko von Security Discovery Zugriff auf Infrastruktur der Täter erhalten und dort umfangreiche Datenbestände eingesehen haben soll.

Die Angreifer sollen öffentlich erreichbare FortiGate Zugänge systematisch gescannt und anschließend automatisierte Anmeldeversuche in großem Maßstab durchgeführt haben. Laut Bericht kam dafür eigens entwickelte Software zum Einsatz, die sehr viele parallele Verbindungen verarbeiten konnte. Besonders kritisch ist der Hinweis, dass die Angreifer nicht bei einem reinen Login stehenblieben, sondern aus erfolgreichen Zugriffen weitere Informationen über interne Netze, Benutzerstrukturen und zentrale Authentifizierungssysteme ableiteten.

Warum Firewall Zugänge so kritisch sind

Firewalls und VPN-Gateways sind keine gewöhnlichen Systeme. Sie sitzen an einer Stelle, an der viele Sicherheitsentscheidungen zusammenlaufen. Wer dort Zugriff erhält, sieht oft mehr als auf einem einzelnen Client: Remote-Zugänge, Routing, interne Netze, Standortkopplungen, Benutzergruppen und manchmal auch Hinweise auf Active Directory oder RADIUS-Anbindungen.

Bei FortiGate Installationen kommt hinzu, dass sie in vielen Unternehmen als zentraler Zugang für Homeoffice, externe Dienstleister oder Standortvernetzung dienen. Ein kompromittierter Account kann deshalb ausreichen, um sich wie ein legitimer Benutzer in das Unternehmensnetz einzuwählen. Danach folgen typischerweise die nächsten Schritte: Auskundschaften, Rechteausweitung, Zugriff auf Dateiablagen, Passwortdiebstahl und im schlimmsten Fall Ransomware Vorbereitung.

RisikoWarum es wichtig istEmpfohlene Reaktion
Kompromittierte VPN ZugangsdatenAngreifer können sich wie legitime Benutzer anmeldenPasswörter ändern, MFA erzwingen, aktive Sessions beenden
Offene Management OberflächeLogin Portale im Internet sind dauerhaft scanbarManagement nur über internes Netz oder Admin VPN erlauben
Veraltete FirmwareBekannte Fortinet Lücken werden regelmäßig massenhaft ausgenutztFirmwarestand prüfen und Fortinet PSIRT Hinweise abgleichen
AD oder RADIUS AnbindungEin Gateway Zugriff kann Hinweise auf zentrale Identitäten liefernAD Logs, RADIUS Logs und fehlgeschlagene Logins prüfen
Wiederverwendete PasswörterEin erbeutetes Passwort kann auch bei anderen Diensten funktionierenCredential Rotation und Passwortmanager Richtlinien prüfen

Technischer Hintergrund

Nach bisheriger Darstellung handelt es sich nicht um einen einzelnen simplen Exploit, sondern um eine Kombination aus großflächiger Erkennung erreichbarer Fortinet Systeme, automatisierten Login Versuchen und anschließender Auswertung erfolgreicher Zugriffe. Infostealers beschreibt den Vorfall als globale Kompromittierung von Fortinet Firewalls bei Unternehmen unterschiedlicher Branchen. WinFuture nennt zusätzlich, dass auch Organisationen aus kritischer Infrastruktur und internationale Unternehmen betroffen sein sollen.

Hudson Rock wird in der Berichterstattung mit der Einschätzung zitiert, dass abgefangene VPN Zugangsdaten mithilfe leistungsstarker GPU Systeme entschlüsselt oder geprüft wurden. Das passt zu einem bekannten Muster: Angreifer sammeln zunächst große Mengen Zugangsdaten, kombinieren diese mit Informationen aus Infostealer Logs, prüfen Treffer automatisiert und verwenden erfolgreiche Logins anschließend für gezielte Folgeangriffe.

Wichtig ist die saubere Einordnung: Die öffentlich genannten Zahlen und Details stammen aus Sicherheitsberichten und Medienauswertungen. Unternehmen sollten deshalb nicht nur nach genau einem CVE suchen, sondern ihre gesamte Fortinet Exposition prüfen: Firmwarestand, öffentlich erreichbare Dienste, Admin Oberflächen, VPN Konfiguration, MFA Pflicht, lokale Benutzerkonten, AD Anbindung und Logdaten.

Was Admins jetzt prüfen sollten

Wer Fortinet FortiGate oder FortiOS einsetzt, sollte die Meldung als Anlass für eine strukturierte Sofortprüfung nutzen. Dabei geht es nicht nur um Updates, sondern auch um die Frage, ob Zugangsdaten bereits missbraucht wurden.

  1. Firmwarestand prüfen: FortiOS und FortiGate Firmware mit den aktuellen Fortinet PSIRT Hinweisen abgleichen.
  2. Internet Exposition prüfen: Management Oberflächen dürfen nicht frei aus dem Internet erreichbar sein.
  3. VPN Benutzer prüfen: Unbekannte, alte oder nicht mehr benötigte Accounts deaktivieren.
  4. MFA erzwingen: VPN Zugriff ohne Mehrfaktor Authentifizierung ist bei Internet Exposition ein hohes Risiko.
  5. Passwörter rotieren: Besonders für lokale Firewall Benutzer, VPN Nutzer und Dienstkonten.
  6. Logs auswerten: Erfolgreiche Logins aus ungewöhnlichen Ländern, Uhrzeiten oder IP Bereichen prüfen.
  7. AD und RADIUS prüfen: Fehlgeschlagene Logins, neue Gruppenmitgliedschaften und verdächtige Authentifizierungen kontrollieren.
  8. Sessions beenden: Aktive VPN Sessions nach Passwortwechseln neu authentifizieren lassen.
  9. Backups prüfen: Konfigurationsbackups sichern, aber auch auf enthaltene Secrets achten.
  10. Monitoring schärfen: FortiGate Logs in SIEM, Syslog oder Monitoring übernehmen.

Indikatoren und Logsuche

Ein einzelner IoC Satz reicht bei dieser Art Kampagne nicht aus. Sinnvoller ist eine Kombination aus Logsuche und Verhaltensanalyse. Administratoren sollten insbesondere folgende Ereignisse prüfen:

  1. Viele fehlgeschlagene VPN Logins gegen denselben Benutzer
  2. Erfolgreiche Logins von neuen ASN, Cloud Providern oder Ländern
  3. VPN Sessions außerhalb üblicher Arbeitszeiten
  4. Neue lokale Benutzer oder geänderte Admin Rechte auf der Firewall
  5. Änderungen an Firewall Policies, NAT Regeln oder Routing
  6. Exportierte oder heruntergeladene Konfigurationen
  7. Ungewöhnliche LDAP, RADIUS oder SAML Authentifizierungsfehler
  8. Login Treffer für Konten, die eigentlich deaktiviert sein sollten

Wenn solche Treffer sichtbar werden, sollte der Vorfall nicht als reines Passwortproblem behandelt werden. Dann ist eine vollständige Incident Response sinnvoll: Timeline sichern, Logs exportieren, Konfiguration versionieren, betroffene Accounts sperren und nach möglichen Folgeschritten im internen Netz suchen.

Einordnung für KMU und Admins

Für kleine und mittlere Unternehmen ist die Meldung besonders relevant, weil Fortinet Firewalls häufig einmal eingerichtet und danach nur punktüll gepflegt werden. Genau diese Systeme sind für Angreifer attraktiv. Sie sind aus dem Internet erreichbar, oft lange im Einsatz und bilden eine Brücke in interne Netze. Eine Firewall darf deshalb nicht als statisches Gerät betrachtet werden, sondern als besonders kritischer Server mit Patch, Logging und Zugriffskontrolle.

Die wichtigste Lehre aus dem Fall ist nicht nur Fortinet spezifisch. Jede öffentlich erreichbare VPN oder Firewall Lösung braucht ein klares Betriebsmodell: regelmäßige Firmware Updates, dokumentierte Admin Konten, MFA Pflicht, kein öffentliches Management, zentrale Logauswertung und Notfallprozess für Credential Rotation.

Passende Anleitungen auf S-EDV

  1. pfSense und OPNsense als Firewall erstkonfigurieren zeigt Grundlagen für saubere Firewall Regeln und Management Zugriffe.
  2. Zero Trust Netzwerksegmentierung im KMU erklärt, wie interne Netze auch nach einem Gateway Vorfall begrenzt werden können.
  3. CISA KEV als Pflichtlektüre für Admins hilft bei der Priorisierung aktiv ausgenutzter Schwachstellen.

Fazit

Die Berichte über kompromittierte Fortinet Firewalls zeigen erneut, wie gefährlich exponierte VPN und Firewall Systeme sind. Wer FortiGate einsetzt, sollte nicht abwarten, ob der eigene Name in einem Leak auftaucht. Jetzt zählen Firmware Prüfung, Einschränkung der Management Erreichbarkeit, MFA, Credential Rotation und eine ernsthafte Logauswertung. Besonders wichtig: Wenn Zugangsdaten im Spiel sind, reicht Patchen allein nicht aus. Passwörter und Tokens müssen erneürt und verdächtige Sitzungen beendet werden.

Quellen

  1. WinFuture: Massiver Firewall Hack, viele wichtige Netze geknackt
  2. Infostealers: FortiBleed Bericht zu kompromittierten Fortinet Firewalls
  3. Fortinet PSIRT: Analysis of Threat Actor Activity
  4. Fortinet FortiGuard PSIRT Advisories
Verwandt

Weiter lesen

Alle Artikel →
NGINX 1.31.2 Sicherheitsupdate mit geschlossenem Schutzschild vor Server, Darstellung kritischer Sicherheitslücken in HTTP/3, gRPC und Charset Modul in moderner Cybersecurity News Grafik mit Rechenzentrum und Netzwerkvisualisierung.
18.06.2026 ·5 min

nginx 1.31.2 schließt kritische Lücken in HTTP/3, gRPC und Charset Modul

nginx 1.31.2 schließt drei Sicherheitslücken: CVE-2026-42530 in HTTP/3, CVE-2026-42055 in Proxy und gRPC Setups sowie CVE-2026-48142 im Charset Modul. Admins sollten Webserver, Container Images und Reverse Proxies jetzt prüfen.
IT News Grafik zur Joomla JCE Sicherheitslücke mit Warnung der CISA vor einer aktiv ausgenutzten Remote Code Execution Schwachstelle. Darstellung von Cyberangriff, Webserver, Sicherheitswarnung und kritischem Patch Management für Joomla Webseiten.
18.06.2026 ·3 min

Joomla JCE: CISA warnt vor aktiv ausgenutzter RCE-Lücke

CISA führt CVE-2026-48907 im KEV-Katalog. Betroffen ist die JCE-Erweiterung für Joomla bis Version 2.9.99.4, Updates und Prüfungen sind dringend sinnvoll.
BSI Lagebild zur Cyberresilienz von KMU mit Server, Netzwerk und Cybersecurity Symbolen als Darstellung der dauerhaften organisatorischen Herausforderungen für kleine und mittlere Unternehmen.
18.06.2026 ·3 min

BSI-Lagebild: Cyberresilienz bleibt für KMU eine organisatorische Daueraufgabe

Das BSI betont seit Jahren die hohe Bedeutung von Cyberresilienz. Für KMU heißt das: Backups, Patchmanagement, Notfallpläne und Basisschutz müssen praktisch funktionieren.