FortiBleed: Wenn zehntausende Firewalls zur offenen Tür werden

FortiGate-Firewalls schützen Unternehmensnetzwerke. Das ist ihr einziger Zweck. Was FortiBleed zeigt: Wenn die Firewall selbst zur Angriffsfläche wird, schützt sie nicht mehr – sie öffnet.

Was ist FortiBleed?

FortiBleed ist kein einzelner Breach. Es ist eine industrialisierte Harvesting-Operation gegen internet-exponierte Fortinet-Firewalls und SSL-VPN-Gateways. Entdeckt wurde der Datensatz Mitte Juni 2026 vom Sicherheitsforscher Volodymyr „Bob" Diachenko.

Die Dimension ist außergewöhnlich – auch wenn die genauen Zahlen je nach Quelle variieren und sich noch verändern, da die Kampagne zum Zeitpunkt der Veröffentlichung weiterhin aktiv war. Sicherheitsforscher, die den geleakten Datensatz analysiert haben, schätzen die Zahl betroffener FortiGate-Geräte auf irgendwo zwischen 30.000 und 75.000. Die enthaltenen Einträge lassen sich auf rund 21.600 Domains in 194 Ländern zuordnen – ein Querschnitt globaler Großkonzerne, Behörden und Betreiber kritischer Infrastruktur, nahezu jeder Branche.

Wie der Angriff funktionierte

Der Angriff folgt einer automatisierten, sich selbst verstärkenden Kette. Zuerst wird das Internet nach erreichbaren FortiGate-Geräten durchsucht – vor allem nach SSL-VPN-Endpunkten und Management-Oberflächen. Gegen jedes gefundene Gerät testen die Angreifer dann eine kuratierte Liste bekannter Passwörter. Bei einem erfolgreichen Login wird kein lauter Angriff gefahren – stattdessen wird das kompromittierte Gerät als stiller „Listening Post" genutzt: Es sitzt am Netzwerkperimeter und liest den durchlaufenden Traffic mit, um weitere Zugangsdaten abzugreifen. Diese fließen zurück in den Scanner und kompromittieren das nächste Gerät. Das System speist sich selbst.

Die getestete Passwortliste ist nicht zufällig. Sie besteht aus Zugangsdaten, die bereits bei früheren Fortinet-Vorfällen und über Infostealer-Logs abgeflossen sind – viele Organisationen haben ihre Passwörter nach einem früheren Vorfall nie geändert. Zusätzlich fingen die Angreifer laut Diachenkos Rekonstruktion SSL-VPN-Authentifizierungs-Hashes ab und knackten sie offline mit einem GPU-Cluster (berichtet wird ein über Hashtopolis verwalteter Verbund aus rund 45 GPUs).

Nach bisherigem Stand ist das kein bestätigter Zero-Day. Wie die Konfigurationsdaten ursprünglich aus den Geräten abflossen, ist offen: Infrage kommen bereits bekannte, aber ungepatchte Schwachstellen (insbesondere CVE-2026-24858, ein FortiCloud-SSO-SAML-Bypass mit CVSS bis 9.8), eine noch unbekannte Lücke, Infostealer-Credentials oder eine Kombination daraus. Begünstigend wirkt zudem, dass auf vielen Geräten Admin-Passwörter noch im älteren SHA-256-Format gespeichert sind – nämlich überall dort, wo sich Admins nach einem Firmware-Update nie neu angemeldet haben. Der Kern des Problems bleibt in jedem Fall derselbe: exponierte Management-Interfaces und wiederverwendete bzw. knackbare Zugangsdaten.

Die Rolle von Infostealern

Ein erheblicher Teil der Zugangsdaten stammt nicht aus klassischer Brute-Force, sondern aus Infostealer-Kampagnen. Infostealer-Malware auf Mitarbeitergeräten stiehlt gespeicherte VPN-Credentials und Passwörter aus Browsern und Passwortmanagern, bevor sie in Darknet-Foren und -Dumps landen. Diese Credentials ermöglichten in vielen Fällen einen validen Login ganz ohne Brute-Force.

Das macht FortiBleed auch zu einem Darknet-Monitoring-Thema: Die Infostealer-Aktivität, die zu diesen Credentials geführt hat, war in einschlägigen Foren und Dumps sichtbar – für alle, die dort aktiv suchen.

Was hilft – und warum Sichtbarkeit entscheidet

Genau hier setzt blacklens.io an. Das Darknet Monitoring erkennt, wenn Zugangsdaten oder Infostealer-Aktivität das eigene Unternehmen betreffen – das Emerging Threat Notification System informiert proaktiv, bevor jemand anderes reagiert. Die kontinuierliche Attack-Surface-Analyse zeigt dabei, welche Systeme wirklich von außen erreichbar sind – auch die, die intern längst niemand mehr kennt.

‍

‍