FortiBleed wächst: 86.644 Fortinet Firewalls mit gültigen Anmeldeinformationen in 194 Ländern, CISA gibt Warnung aus
Ein Forscher identifizierte eine Datenbank mit funktionalen Anmeldeinformationen von fast 87.000 FortiGate-Geräten in 21.600 Domänen, darunter Samsung, Mercedes-Benz, Chevron und Accenture. Die Kampagne bleibt aktiv, so SOCRadar.
Innerhalb einer Woche stieg die offizielle Zählung von 73.932 auf 86.644 kompromittierte Fortinet-Geräte. Was der Forscher Volodymyr "Bob" Diachenko am 13. Juni als exponierten Server entdeckte, stellte sich laut dem letzten Update von SOCRadar, veröffentlicht am Freitag, als die größte dokumentierte Sammlung administrativer Anmeldeinformationen von Perimetersystemen heraus, die es je gab. Die Kampagne, die als FortiBleed bezeichnet wird, war bereits am 18. Juni Gegenstand einer Warnung der CISA und erhielt am selben Tag öffentliche Anweisungen vom britischen NCSC.
Die Datenbank enthält Anmeldeinformationen für SSL VPN und die Verwaltung von FortiGate in 194 Ländern und 21.632 einzigartigen Domänen, was nach Schätzungen von Arctic Wolf ungefähr der Hälfte aller über das Internet zugänglichen Fortinet Firewalls entspricht. Der dahinterstehende Betrieb wird einem russischsprachigen Akteur zugeschrieben, der Infrastruktur mit 45 GPUs nutzt, um Hashes offline im industriellen Maßstab zu knacken und die exponierten Konfigurationsdaten in gültige, durch Credential Stuffing testbare Anmeldeinformationen umzuwandeln.
Wer in den Daten auftaucht
Unter den identifizierten Domänen befinden sich Samsung, Mercedes-Benz, Foxconn, Chevron, Comcast, AT&T, Toyota, Oracle, Siemens, Lenovo und DHL. Die Liste umfasst auch globale Dienstleistungsunternehmen wie Accenture, PwC und Infosys sowie Regierungsbehörden und Betreiber kritischer Infrastrukturen in mindestens sieben Ländern. Keine dieser Firmen hat bis zum Abschluss dieses Berichts öffentlich ein Kompromittierung bestätigt, und die Methodik der Exposition umfasst gültige Anmeldeinformationen zum Zeitpunkt der Erfassung, nicht unbedingt den Zugriff nach einer Rotation.
Die Nachricht der CISA im technischen Datenblatt ist deutlich: aktive Sitzungen beenden, alle administrativen Anmeldeinformationen zurücksetzen, die Verwendung von PBKDF2 für die Speicherung von Passwörtern sicherstellen, MFA implementieren, das sich gegen Phishing schützt, und die Verwaltungsoberfläche so weit wie möglich aus dem Internet nehmen. "Das kann man nicht einfach als punktuelles IOC betrachten. Jeder Fortinet-Kunde muss davon ausgehen, dass er auf der Liste steht, bis das Gegenteil bewiesen ist", sagte Brian Bates, Vizepräsident für Produktentwicklung bei Bitsight, in einem Kommentar, der von der Computing veröffentlicht wurde.
Die Geografie des Problems, über die USA hinaus
Das Vereinigte Königreich gab über das NCSC eine parallele Warnung aus, angesichts der Konzentration von FortiGate in Netzwerk des britischen öffentlichen Sektors, insbesondere in lokalen Behörden und NHS-Anbietern, die das Gerät als VPN-Eingang für das hybride Arbeitsregime nutzen. Deutschland fällt seit Oktober 2025 unter NIS2, und Betreiber kritischer Infrastrukturen, die jetzt eine Kompromittierung feststellen, müssen das BSI innerhalb von 24 Stunden benachrichtigen, sonst drohen Geldbußen von bis zu 2 % des globalen Umsatzes.
In Japan, wo MUFG und Mizuho einen Teil des Edge-Betriebs an Integratoren auslagern, die FortiGate standardisiert haben, bedeutet die Exposition ein Risiko für laterale Bewegungen im Bankennetzwerk genau in dem Moment, in dem die drei Großbanken Projekte zur generativen KI mit Anthropic abschließen. In Brasilien, wo Itaú, Bradesco und Nubank gemischte Fortinet- und Palo Alto-Stacks betreiben, sieht der CISO, dass das gefährlichste Risiko nicht die Firewall selbst ist, sondern das, was sie schützt: das implizite Vertrauen der Unternehmensintegrationen, die den VPN-Tunnel als vertrauenswürdigen Bereich ansehen.
Warum ist das anders als frühere Wellen
Fortinet hatte bereits 2022 (CVE-2022-40684, 87.000 gestohlene Anmeldeinformationen) und 2024 (CVE-2024-21762) relevante Offenlegungen zu verzeichnen. Der Unterschied bei FortiBleed liegt in drei Punkten. Erstens handelt es sich nicht um eine neue Schwachstelle, sondern um die massenhafte Ausnutzung bereits bestehender Konfigurationen mit industriellem Offline-Cracking, einem Modell, das sich von dem klassischen N-day-Exploitation unterscheidet. Zweitens hielt der Akteur die Infrastruktur monatelang vor der Entdeckung aktiv, was das Universum der gültigen Anmeldeinformationen erweiterte. Drittens legt die Offenlegung eine strukturelle Schwäche des Marktes offen: Unternehmen mit reifen SOCs und zeitgerechtem Patchen wurden durch die Kombination von PBKDF2 mit niedriger Iteration und der Exposition des Managementplans kompromittiert.
Die Frage von Mariano Nunez, CEO von Onapp, auf dem Panel der Infosecurity Magazine am 19. Juni fasst zusammen, was auf dem Spiel steht: Wie kann ein Sicherheitsunternehmen das administrative Geheimnis von 86.000 Geräten rösten, ohne ein operatives Fenster offen zu lassen? Die Kosten der Antwort werden in Monaten, nicht in Tagen gemessen werden. Und sie wurden noch nicht von den Vorständen preisgegeben.