Ist FortiBleed eine Zero-Day-Schwachstelle?

Nein. Laut CISA und Fortinet geht FortiBleed auf wiederverwendete und nicht rotierte Zugangsdaten aus früheren Infostealer-Leaks in Kombination mit Brute-Force-Aktivitäten zurück und nicht auf eine neue Softwareschwachstelle. Alleiniges Patchen behebt das Risiko nicht.

Wie viele Geräte waren von FortiBleed betroffen?

BleepingComputer meldete zum 19. Juni 2026 nahezu 74.000 offengelegte Zugangsdaten. The Hacker News und SecurityWeek berichteten zum selben Datum von 86.644 betroffenen Geräten, was die fortlaufende Auswertung des vollständigen Datensatzes widerspiegelt.

1 / 1

FortiBleed Fortinet FortiGate CISA-Hinweis Credential-Härtung Netzwerksicherheit breach-breakdown

Sam Jun 23, 2026

In diesem Artikel (4)

Fortinet FortiGate Zugangsdaten-Exposition ## Überblick Im Jahr 2025 wurden die Zugangsdaten von über 15.000 Fortinet FortiGate-Firewalls öffentlich im Internet veröffentlicht. Der Vorfall war das Ergebnis eines Angriffs, der ursprünglich im Jahr 2022 stattfand, und zeigt, wie Sicherheitslücken in Netzwerkgeräten noch Jahre später schwerwiegende Folgen haben können. ## Was ist passiert? Im Jahr 2022 nutzte eine Hackergruppe namens „Belsen Group" eine Sicherheitslücke in FortiGate-Firewalls aus, bekannt als CVE-2022-40684. Diese Schwachstelle ermöglichte es Angreifern, ohne gültigen Benutzernamen oder Passwort auf die Verwaltungsoberfläche der Geräte zuzugreifen – ein sogenannter Authentication-Bypass. Die Angreifer nutzten diese Lücke, um Konfigurationsdateien von tausenden Firewalls zu stehlen. Diese Dateien enthielten unter anderem: - Benutzernamen und Passwörter (teilweise im Klartext) - Zertifikate und VPN-Zugangsdaten - Informationen über die Netzwerkkonfiguration der betroffenen Organisationen Im Januar 2025 veröffentlichte die Belsen Group diese gestohlenen Daten kostenlos im Darknet – vermutlich um Aufmerksamkeit zu erlangen oder den betroffenen Organisationen weiteren Schaden zuzufügen. ## Warum ist das wichtig? Dieser Vorfall ist aus mehreren Gründen bedeutsam: - **Verzögerte Wirkung:** Die Daten wurden drei Jahre nach dem ursprünglichen Angriff veröffentlicht. Das zeigt, dass gestohlene Informationen lange Zeit zurückgehalten und dann strategisch eingesetzt werden können. - **Breite Betroffenheit:** Unter den betroffenen Organisationen befanden sich Unternehmen, Behörden und kritische Infrastrukturen aus der ganzen Welt. - **Zugangsdaten als Schlüssel:** Mit den gestohlenen Zugangsdaten könnten Angreifer potenziell in Netzwerke eindringen, selbst wenn die ursprüngliche Sicherheitslücke längst geschlossen wurde – sofern die Passwörter nicht geändert wurden. ## Die ausgenutzte Schwachstelle CVE-2022-40684 ist eine kritische Sicherheitslücke, die im Oktober 2022 von Fortinet selbst gemeldet und mit einem Patch versehen wurde. Sie betraf mehrere Produktlinien: - FortiOS (Betriebssystem der Firewalls) - FortiProxy - FortiSwitchManager Die Schwachstelle ermöglichte es, über speziell gestaltete HTTP- oder HTTPS-Anfragen administrative Aktionen durchzuführen, ohne sich authentifizieren zu müssen. Fortinet bewertete sie mit einem CVSS-Score von 9,8 von 10 – also als äußerst kritisch. ## Was bedeutet das für die Cybersicherheit? Dieser Vorfall unterstreicht mehrere wichtige Prinzipien der Cybersicherheit: 1. **Patch-Management ist entscheidend:** Sicherheitsupdates müssen schnell eingespielt werden. Im Fall von CVE-2022-40684 gab es einen Patch, aber nicht alle Organisationen installierten ihn rechtzeitig. 2. **Zugangsdaten müssen regelmäßig geändert werden:** Selbst wenn eine Lücke geschlossen wird, bleiben gestohlene Zugangsdaten gefährlich, solange sie nicht erneuert werden. 3. **Netzwerksicherheitsgeräte sind selbst Angriffsziele:** Firewalls und VPN-Gateways schützen Netzwerke, sind aber gleichzeitig attraktive Ziele für Angreifer, da sie privilegierten Zugang bieten. 4. **Monitoring und Incident Response:** Organisationen müssen in der Lage sein, Angriffe frühzeitig zu erkennen und darauf zu reagieren – auch wenn die Auswirkungen erst später sichtbar werden. ## Reaktionen und Maßnahmen Nach der Veröffentlichung im Jahr 2025 riet Fortinet betroffenen Organisationen dringend: - Alle Zugangsdaten für betroffene Geräte sofort zu ändern - Zu prüfen, ob die Geräte noch mit veralteter Firmware betrieben werden - Zugriffsprotokolle auf verdächtige Aktivitäten zu untersuchen - Die Netzwerksegmentierung zu überprüfen, um den möglichen Schaden eines erfolgreichen Angriffs zu begrenzen ## Zusammenfassung Der FortiGate-Vorfall ist ein eindrückliches Beispiel dafür, dass Cyberangriffe langfristige Folgen haben können. Eine im Jahr 2022 ausgenutzte Sicherheitslücke führte 2025 zur Veröffentlichung sensibler Daten tausender Organisationen. Er erinnert uns daran, dass Cybersicherheit kein einmaliges Projekt ist, sondern eine kontinuierliche Aufgabe, die regelmäßige Updates, Zugangsverwaltung und Wachsamkeit erfordert.

FortiBleed legt 74.000 FortiGate-Zugangsdaten offen: Was CISAs Härtungsempfehlung jeden Verteidiger lehrt

Q: Was empfiehlt CISA betroffenen Fortinet-Nutzern?

CISAs Hinweis vom 18. Juni 2026 fordert drei sofortige Maßnahmen: Passwörter auf internetbasierten FortiGate-Geräten zurücksetzen, aktive Sitzungen beenden und Multi-Faktor-Authentifizierung aktivieren. Die Beschränkung des Zugriffs auf die Verwaltungsschnittstelle auf nicht-öffentliche Netzwerke fügt eine strukturelle Schutzebene hinzu.

Kernaussagen

FortiBleed ist eine Credential-Stuffing-Kampagne und kein Zero-Day: Das Rotieren von Passwörtern und die Aktivierung von MFA schließt das von CISA identifizierte spezifische Risiko.
Internetbasierte Verwaltungsschnittstellen sind ein strukturelles Risiko; die Beschränkung des Admin-Zugriffs auf interne oder zugelassene Netzwerke eliminiert die Credential-Stuffing-Angriffsfläche vollständig.
CISAs dreistufige Reaktion (Passwörter zurücksetzen, aktive Sitzungen beenden, MFA aktivieren) ist ein wiederverwendbares Härtungsrahmenwerk für jedes internetbasierte System, nicht nur für FortiGate-Geräte.

Was FortiBleed wir…Warum internetexpo…Die CISA-Härtungs-…Was das für dich b…

Sam · Jun 23, 2026

CISAs Alert vom Juni 2026 zu Credential-Stuffing-Angriffen auf internet-zugängliche FortiGate-Geräte ist ein Paradebeispiel dafür, warum mangelnde Passworthygiene und die Exposition von Management-Schnittstellen die zwei Probleme sind, die immer wieder die Oberhand gewinnen.

CISAs Sicherheitswarnung vom Juni 2026 zu Credential-Stuffing-Angriffen auf internetfähige FortiGate-Geräte ist ein Paradebeispiel dafür, warum mangelnde Passworthygiene und die Erreichbarkeit von Management-Interfaces die zwei Probleme sind, die immer wieder die Oberhand gewinnen.

Sicherheitsforscher Bob Diachenko entdeckte einen Server, der offen im Internet erreichbar war und scheinbar gültige Fortinet-VPN-Zugangsdaten enthielt: Benutzernamen, E-Mail-Adressen und Klartextpasswörter für 73.932 Firewall-URLs von Organisationen weltweit. Laut Lawrence Abrams von BleepingComputer enthielt die Datenbank Einträge, die mit Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Sinopec, State Grid und vielen weiteren Unternehmen in Verbindung stehen. Dieser Fund, inzwischen als FortiBleed bekannt, ist eines der deutlichsten jüngsten Beispiele für ein strukturelles Problem, das in Kursen zur defensiven Architektur zwar abstrakt besprochen, aber selten in Echtzeit untersucht werden kann.

Was FortiBleed wirklich ist (und warum die Unterscheidung wichtig ist)

Bevor der Alarm die wichtigen Nuancen übertönt, hier der strukturelle Punkt, den jede verteidigende Seite verinnerlichen sollte: FortiBleed ist keine neue Zero-Day-Schwachstelle im Code von Fortinet. Wie BleepingComputer am 19. Juni 2026 berichtete, forderte CISA Fortinet-Kunden auf, ihre Geräte zu sichern, nachdem fast 74.000 Firewall- und VPN-Zugangsdaten durch das Leak öffentlich geworden waren. Die Kampagne geht laut der eigenen Advisory-Sprache von CISA, wie von BleepingComputer berichtet, auf kompromittierte Zugangsdaten zurück, die gegen über das Internet erreichbare Geräte in Regierungs- und Privatorganisationen weltweit eingesetzt wurden.

Das bedeutet: Die verwundbare Angriffsfläche ist keine ungepatchte Software. Es handelt sich um Zugangsdaten, die nach ihrem Auftauchen in früheren Infostealer-Leaks nie ausgetauscht wurden – kombiniert mit Brute-Force-Aktivitäten gegen Geräte, die vom öffentlichen Internet aus erreichbar geblieben sind.

Dieser Unterschied verdient besondere Aufmerksamkeit, denn er verändert die defensive Reaktion grundlegend. Eine Zero-Day-Schwachstelle bedeutet, dass ein gepatchtes Gerät über die Lücke trotzdem kompromittiert werden kann. Eine Credential-Stuffing-Kampagne bedeutet, dass ein vollständig gepatchtes Gerät weiterhin gefährdet ist, wenn seine Zugangsdaten nach einem früheren Leak nie geändert wurden. Das sind unterschiedliche Bedrohungsmodelle, die unterschiedliche Gegenmaßnahmen erfordern. Wer sie verwechselt, patcht, obwohl stattdessen Secrets rotiert und die Angriffsfläche überprüft werden sollten.

Die Zahl der exponierten Zugangsdaten wuchs im Laufe der Berichterstattung. BleepingComputers Sergiu Gatlan meldete zum 19. Juni 2026 knapp 74.000 betroffene Zugangsdaten. The Hacker News und SecurityWeek nannten zum selben Datum 86.644 betroffene Geräte. Die Differenz spiegelt den schrittweisen Verlauf von Offenlegung und Auswertung wider: Die ursprüngliche BleepingComputer-Zahl von Lawrence Abrams lag bei 73.932 Geräte-URLs, und die Zahl stieg, als Forscher den vollständigen Datensatz analysierten. Unabhängig davon, welche Zahl deine Organisation verfolgt, lautet die Botschaft dieselbe: Die Exposition ist groß, sie betrifft namentlich bekannte Unternehmen und Regierungsstellen, und CISA hat eine aktive Ausnutzung bestätigt.

Warum internetexponierte Management-Interfaces immer wieder scheitern

Die CISA-Advisory vom 18. Juni 2026 stellte ausdrücklich fest, dass böswillige Cyberakteure über kompromittierte Zugangsdaten internet-zugängliche Fortinet-Geräte in Regierungs- und Privatorganisationen weltweit angegriffen haben, wie BleepingComputer berichtete. Lies diesen Satz als Architekturlehre.

Die Angriffsfläche ist hier keine obskure Randkonfiguration. Es ist jede FortiGate-Firewall oder jedes SSL-VPN-Gateway, dessen Management-Interface oder Login-Portal ohne vorgelagerte zusätzliche Zugriffskontrollen vom öffentlichen Internet aus erreichbar ist.

Der Grund, warum sich dieses Muster in Sicherheitsvorfällen immer wiederholt, ist einfach: Internetexponierte Management-Interfaces reduzieren den Aufwand für Angreifer erheblich. Anstatt sich durch Phishing oder eine Schwachstellenkette ersten Zugang verschaffen zu müssen, kann ein Bedrohungsakteur mit einer gültigen Zugangsdatenliste die Authentifizierung direkt gegen die Management-Ebene versuchen. Wenn Zugangsdaten aus früheren Leaks noch immer gültig sind, weil sie nie ausgetauscht wurden, hat der Angreifer im Wesentlichen eine unverschlossene Tür vorgefunden.

Der FortiBleed-Datensatz enthielt laut BleepingComputers Bericht über die ursprüngliche Entdeckung durch Diachenko Klartextpasswörter zusammen mit Benutzernamen und E-Mail-Adressen. Das bedeutet: Jede Organisation in diesem Datensatz, deren Passwörter unverändert geblieben waren, betrieb Zugangsdaten, die ohne jeden Cracking-Schritt direkt ausprobiert werden konnten.

Die CISA-Härtungs-Checkliste als Lernrahmen

CISAs Reaktion auf FortiBleed ist nicht nur als Notfallverfahren, sondern auch als Lehrdokument dafür lesenswert, wie eine ausgereifte Härtungsposition aussieht. Die von The Hacker News berichteten zentralen Abhilfeschritte umfassen drei miteinander verknüpfte Maßnahmen: Passwörter auf betroffenen Geräten zurücksetzen, aktive Sitzungen beenden und Multi-Faktor-Authentifizierung aktivieren.

Jeder dieser Schritte adressiert eine andere Schicht des Credential-Exposure-Problems. Die Passwortrotation schließt das Fenster für Zugangsdaten, die sich möglicherweise bereits in Angreiferhänden befinden. Die Sitzungsbeendigung behandelt das Szenario, in dem ein Bedrohungsakteur sich bereits authentifiziert hat und den Zugang über eine aktive Sitzung aufrechthält, die eine Passwortänderung übersteht. Die MFA-Einrichtung bedeutet, dass selbst wenn künftige Zugangsdaten durchsickern, ein Passwort allein nicht mehr zur Authentifizierung ausreicht.

Zusammen bilden diese drei Schritte ein Reaktionsmuster, das weit über FortiGate-Geräte hinaus anwendbar ist – es sind dieselben Maßnahmen, die jede Organisation ergreifen sollte, wenn Zugangsdaten für ein internetexponiertes System in einem Breach-Datensatz auftauchen.

Die Dataprise-Analyse von FortiBleed unterstreicht ein viertes Prinzip, das die CISA-Advisory impliziert, aber nicht immer explizit formuliert: Internetexponierte Management-Interfaces sollten, wo betrieblich möglich, überhaupt nicht internetexponiert sein. Die Beschränkung des administrativen Zugriffs auf VPN-exklusive Wege, dedizierte Management-Netzwerke oder Allowlist-IP-Bereiche beseitigt die gesamte Credential-Stuffing-Angriffsfläche für dieses Interface. Wenn diese Architekturkontrolle vorhanden ist, kann ein geleaktes Zugangsdatenpaar unabhängig davon, ob das Passwort je rotiert wurde, nicht direkt vom öffentlichen Internet aus gegen die Management-Ebene eingesetzt werden.

Was das für dich bedeutet

FortiBleed ist ein ungewöhnlich klares Fallbeispiel, weil die Grundursache nicht exotisch ist. Es gibt keine ausgefeilte Exploit-Kette, die reverse-engineert werden müsste, kein staatliches Tooling, das analysiert werden müsste. Die Lehre lautet: Credential-Hygiene und die Exposition von Management-Interfaces gehören zu den dauerhaftesten und lehrreichsten Problemen in der Netzwerkverteidigung – und gleichzeitig zu den Problemen, die Organisationen am zuverlässigsten aufschieben, bis ein Ereignis wie dieses den Aufschub teuer macht.

Wer FortiGate-Geräte betreibt, sollte die CISA-Advisory vom 18. Juni 2026 jetzt als Checkliste abarbeiten. Wer Netzwerksicherheit oder Firewall-Architektur studiert, sollte FortiBleed als Referenzfall bookmarken: ein echter Datensatz, eine echte Advisory und eine klare Illustration davon, wie die Lücke zwischen „wir haben es gepatcht" und „wir haben es gesichert" in Zehntausenden exponierten Zugangsdaten messbar wird.

Behalte CISAs fortlaufende Hinweise zur Härtung internet-zugänglicher Geräte im Blick – dieses Advisory-Muster ist mit ziemlicher Sicherheit nicht das letzte seiner Art.

Quellen

Questions & answers

FortiBleed ist der Name eines Datenlecks, bei dem nahezu 74.000 Zugangsdaten von Fortinet FortiGate-Firewalls und VPNs offengelegt wurden, darunter Benutzernamen, E-Mail-Adressen und Klartextpasswörter von Organisationen weltweit. Es wurde erstmals vom Sicherheitsforscher Bob Diachenko entdeckt und am 18. Juni 2026 von BleepingComputer gemeldet.