Fortinet FortiGate Zugangsdaten-Exposition ## Überblick Im Jahr 2025 wurden die Zugangsdaten von über 15.000 Fortinet FortiGate-Firewalls öffentlich im Internet veröffentlicht. Der Vorfall war das Ergebnis eines Angriffs, der ursprünglich im Jahr 2022 stattfand, und zeigt, wie Sicherheitslücken in Netzwerkgeräten noch Jahre später schwerwiegende Folgen haben können. ## Was ist passiert? Im Jahr 2022 nutzte eine Hackergruppe namens „Belsen Group" eine Sicherheitslücke in FortiGate-Firewalls aus, bekannt als CVE-2022-40684. Diese Schwachstelle ermöglichte es Angreifern, ohne gültigen Benutzernamen oder Passwort auf die Verwaltungsoberfläche der Geräte zuzugreifen – ein sogenannter Authentication-Bypass. Die Angreifer nutzten diese Lücke, um Konfigurationsdateien von tausenden Firewalls zu stehlen. Diese Dateien enthielten unter anderem: - Benutzernamen und Passwörter (teilweise im Klartext) - Zertifikate und VPN-Zugangsdaten - Informationen über die Netzwerkkonfiguration der betroffenen Organisationen Im Januar 2025 veröffentlichte die Belsen Group diese gestohlenen Daten kostenlos im Darknet – vermutlich um Aufmerksamkeit zu erlangen oder den betroffenen Organisationen weiteren Schaden zuzufügen. ## Warum ist das wichtig? Dieser Vorfall ist aus mehreren Gründen bedeutsam: - **Verzögerte Wirkung:** Die Daten wurden drei Jahre nach dem ursprünglichen Angriff veröffentlicht. Das zeigt, dass gestohlene Informationen lange Zeit zurückgehalten und dann strategisch eingesetzt werden können. - **Breite Betroffenheit:** Unter den betroffenen Organisationen befanden sich Unternehmen, Behörden und kritische Infrastrukturen aus der ganzen Welt. - **Zugangsdaten als Schlüssel:** Mit den gestohlenen Zugangsdaten könnten Angreifer potenziell in Netzwerke eindringen, selbst wenn die ursprüngliche Sicherheitslücke längst geschlossen wurde – sofern die Passwörter nicht geändert wurden. ## Die ausgenutzte Schwachstelle CVE-2022-40684 ist eine kritische Sicherheitslücke, die im Oktober 2022 von Fortinet selbst gemeldet und mit einem Patch versehen wurde. Sie betraf mehrere Produktlinien: - FortiOS (Betriebssystem der Firewalls) - FortiProxy - FortiSwitchManager Die Schwachstelle ermöglichte es, über speziell gestaltete HTTP- oder HTTPS-Anfragen administrative Aktionen durchzuführen, ohne sich authentifizieren zu müssen. Fortinet bewertete sie mit einem CVSS-Score von 9,8 von 10 – also als äußerst kritisch. ## Was bedeutet das für die Cybersicherheit? Dieser Vorfall unterstreicht mehrere wichtige Prinzipien der Cybersicherheit: 1. **Patch-Management ist entscheidend:** Sicherheitsupdates müssen schnell eingespielt werden. Im Fall von CVE-2022-40684 gab es einen Patch, aber nicht alle Organisationen installierten ihn rechtzeitig. 2. **Zugangsdaten müssen regelmäßig geändert werden:** Selbst wenn eine Lücke geschlossen wird, bleiben gestohlene Zugangsdaten gefährlich, solange sie nicht erneuert werden. 3. **Netzwerksicherheitsgeräte sind selbst Angriffsziele:** Firewalls und VPN-Gateways schützen Netzwerke, sind aber gleichzeitig attraktive Ziele für Angreifer, da sie privilegierten Zugang bieten. 4. **Monitoring und Incident Response:** Organisationen müssen in der Lage sein, Angriffe frühzeitig zu erkennen und darauf zu reagieren – auch wenn die Auswirkungen erst später sichtbar werden. ## Reaktionen und Maßnahmen Nach der Veröffentlichung im Jahr 2025 riet Fortinet betroffenen Organisationen dringend: - Alle Zugangsdaten für betroffene Geräte sofort zu ändern - Zu prüfen, ob die Geräte noch mit veralteter Firmware betrieben werden - Zugriffsprotokolle auf verdächtige Aktivitäten zu untersuchen - Die Netzwerksegmentierung zu überprüfen, um den möglichen Schaden eines erfolgreichen Angriffs zu begrenzen ## Zusammenfassung Der FortiGate-Vorfall ist ein eindrückliches Beispiel dafür, dass Cyberangriffe langfristige Folgen haben können. Eine im Jahr 2022 ausgenutzte Sicherheitslücke führte 2025 zur Veröffentlichung sensibler Daten tausender Organisationen. Er erinnert uns daran, dass Cybersicherheit kein einmaliges Projekt ist, sondern eine kontinuierliche Aufgabe, die regelmäßige Updates, Zugangsverwaltung und Wachsamkeit erfordert.FortiBleed legt 74.000 FortiGate-Zugangsdaten offen: Was CISAs Härtungsempfehlung jeden Verteidiger lehrtCISAs Alert vom Juni 2026 zu Credential-Stuffing-Angriffen auf internet-zugängliche FortiGate-Geräte ist ein Paradebeispiel dafür, warum mangelnde Passworthygiene und die Exposition von Management-Schnittstellen die zwei Probleme sind, die immer wieder die Oberhand gewinnen.FortiBleedFortinet FortiGateCISA-HinweisCredential-HärtungSam·Jun 23, 2026·5 min readStory lesen