Angriffswelle gegen FortiGate Devices - "FortiBleed"

22. Juni 2026

Beschreibung

Fortinet hat letzten Freitag, am 19.5.2026, nun auch ein offizielles Statement zu "FortiBleed" veröffentlicht. Wir hatten zuvor in einem Blog-Artikel unseren aktuellen Wissensstand beschrieben. Bei dieser Angriffswelle handelt es sich nicht um die Ausnutzung einer neuen Schwachstelle. Die Angreifer:innen verwenden stattdessen Zugangsdaten, die bei früheren Sicherheitsvorfällen (u. a. im Zusammenhang mit CVE-2025-59718, CVE-2025-59719 und CVE-2026-24858) erlangt wurden, sowie Brute-Force-Methoden gegen Geräte mit schwacher Passworthygiene und ohne Multi-Faktor-Authentifizierung (MFA).

Externe Sicherheitsforscher:innen berichten von einer großen Anzahl betroffener Geräte weltweit. Ursache für die hohe Erfolgsquote der Angriffe ist unter anderem, dass Administrator:innen-Passwörter auf FortiGate-Geräten bis zu den FortiOS-Versionen 7.2.11, 7.4.8 und 7.6.1 mit dem schwächeren SHA-256-Verfahren gehasht wurden. Auch nach einem Update auf eine neuere FortiOS-Version bleiben bestehende Passwörter so lange im älteren, leichter zu brechenden Format gespeichert, bis sich die jeweilige Administratorin oder der jeweilige Administrator nach dem Update erneut anmeldet. Erlangte Konfigurationsexporte ermöglichten es den Angreifer:innen, die darin enthaltenen Passwort-Hashes offline mittels Brute-Force-Angriffen zu kompromittieren.

Auswirkungen

Angreifer:innen mit gültigen, kompromittierten Zugangsdaten erhalten administrativen Zugriff auf betroffene FortiGate-Geräte. Dies ermöglicht unter anderem das Anlegen zusätzlicher lokaler Administrator:innen-Konten zur Aufrechterhaltung des Zugriffs, das Exportieren der Gerätekonfiguration, das Mitlesen von über das Gerät laufendem VPN- und Authentifizierungsverkehr sowie die Vorbereitung lateraler Bewegung in das interne Netzwerk, etwa in angebundene Active-Directory-Umgebungen. Bei Telekommunikationsanbietern und Managed Service Providern besteht zusätzlich das Risiko, dass über kompromittierte Geräte auch Kundennetzwerke erreicht werden können.

Betroffene Systeme

  • FortiGate-Geräte mit Administrator:innen-Konten, deren Passwörter nicht seit einem Update auf FortiOS 7.2.11, 7.4.8, 7.6.1 oder neuer durch eine erneute Anmeldung auf das PBKDF2-Hashverfahren umgestellt wurden
  • FortiGate- und weitere Fortinet-Geräte mit aus dem öffentlichen Internet erreichbaren Management Interfaces oder SSL-VPN-Zugang ohne Multi-Faktor-Authentifizierung
  • Fortinet-Geräte, die möglicherweise bereits von früheren Sicherheitsvorfällen betroffen waren (u. a. im Zusammenhang mit CVE-2025-59718, CVE-2025-59719, CVE-2026-24858)

Abhilfe

Fortinet empfiehlt Betreiber:innen von FortiGate-Geräten folgende Sofortmaßnahmen:

  • Alle aktiven administrativen und VPN-Sitzungen beenden und sämtliche administrativen und VPN-Passwörter zurücksetzen, insbesondere auf aus dem Internet erreichbaren Systemen
  • Multi-Faktor-Authentifizierung (MFA) für alle Administrator:innen- und VPN-Benutzer:innen-Konten aktivieren
  • Update auf eine aktuelle Version von FortiOS 7.4, 7.6 oder 8.0 durchführen. Diese Versionen unterstützen die PBKDF2-Hashfunktion für Administrator:innen-Passwörter
  • Nach dem Update sicherstellen, dass sich alle Administrator:innen mindestens einmal neu anmelden, damit ihre Passwörter auf PBKDF2 umgehasht werden. Erfolgt dies nicht, verbleiben die schwächeren SHA-256-Hashes weiterhin in der Konfiguration. Auf FortiOS 7.2.x und 7.4.x kann zusätzlich die Option login-lockout-upon-weaker-encryption in den Passwortrichtlinien aktiviert werden, um das Verbleiben älterer Hashes zu verhindern
  • Konfiguration auf nicht autorisierte Änderungen überprüfen, idealerweise im Vergleich zu einer bekannt unveränderten Konfiguration. Besonderes Augenmerk gilt unbekannten Benutzer:innen-Konten, etwa mit Namen wie „forticloud“, „fortiuser“, „fortinet-support“ oder „fortinet-tech-support“
  • Logs auf unerwartete administrative Zugriffe von unbekannten IP-Adressen sowie auf ungewöhnliche Aktivitäten in angebundenen Domain-Controller-Logs überprüfen
  • Externe administrative Erreichbarkeit der Geräte einschränken, etwa durch Trusted Hosts, eine Local-In-Policy oder durch vollständige Deaktivierung der administrativen Erreichbarkeit aus dem Internet

Bestehen Hinweise auf nicht autorisierte Änderungen an der Konfiguration oder andere Kompromittierungsindikatoren, sollte das betroffene Gerät als kompromittiert behandelt werden. In diesem Fall empfiehlt Fortinet eine vollständige Überprüfung gemäß den eigenen Empfehlungen zur Wiederherstellung kompromittierter Geräte sowie eine Überprüfung angebundener Active-Directory-Umgebungen auf Hinweise zu Authentifizierungsversuchen oder neu angelegten Konten.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Informationsquelle(n):

Analysis of Reported Credential Compromise of FortiGate Devices – Fortinet PSIRT Blog (Englisch)
https://www.fortinet.com/blog/psirt-blogs/analysis-of-reported-credential-compromise-of-fortigate-devices

An update on FortiBleed – what’s happening with victim orgs – DoublePulsar (Englisch)
https://doublepulsar.com/an-update-on-fortibleed-whats-happening-with-victim-orgs-c0671a50e7f4

Technical Tip: Enforcing PBKDF2 as hash function for administrator accounts in FortiOS v7.2.11 and later – Fortinet Community (Englisch)
https://community.fortinet.com/fortigate-3/technical-tip-enforcing-pbkdf2-as-hash-function-for-administrator-accounts-in-fortios-v7-2-11-and-later-220652

FG-IR-25-647: Multiple Fortinet Products’ FortiCloud SSO Login Authentication Bypass – Fortinet PSIRT (Englisch)
https://www.fortiguard.com/psirt/FG-IR-25-647

FG-IR-26-060: Administrative FortiCloud SSO authentication bypass – Fortinet PSIRT (Englisch)
https://www.fortiguard.com/psirt/FG-IR-26-060

CERT.at Blog: Aktueller Stand rund um "FortiBleed"
https://www.cert.at/de/blog/2026/6/aktueller-stand-rund-um-fortibleed