Fortinet warnt vor einer laufenden Credential-Harvesting-Kampagne gegen Firewalls und VPN-Geräte. Sicherheitsfirmen berichten parallel über eine massive Datensammlung mit Zugangsdaten zu Zehntausenden FortiGate-Systemen. Für Unternehmen im Bereich Security ist der Fall akut, weil Firewall- und VPN-Zugänge häufig direkt am Netzwerkrand sitzen. Wer dort ein gültiges Admin-Passwort verliert, riskiert mehr als einen einzelnen kompromittierten Account.
Die Zahlen schwanken je nach Quelle. Arctic Wolf spricht von verifizierten Zugangsdaten für 30.000 bis 75.000 Geräte in 194 Ländern. BleepingComputer nennt rund 73.000 betroffene Fortinet-VPN-Geräte. TechCrunch berichtet über Zehntausende kompromittierte Fortinet-Firewalls und VPNs bei großen Organisationen weltweit. Fortinet selbst bestätigt die Angriffswelle, beschreibt sie aber als Nutzung von Daten aus früheren Vorfällen und Brute-Force-Versuchen.
Diese Einordnung ist wichtig: Fortinet spricht nicht von einem neuen Zero-Day-Advisory als Auslöser der aktuellen Welle. Für Admins ändert das aber wenig. Wenn gültige Zugangsdaten im Umlauf sind, helfen Patches allein nicht. Unternehmen müssen Passwörter, lokale Admin-Konten, VPN-Zugänge, API-Tokens, LDAP-Bind-Accounts und Vertrauenskette rund um die Firewall prüfen.
FortiBleed zeigt das Risiko kompromittierter Firewall-Zugänge
Der Name FortiBleed beschreibt keine offiziell von Fortinet benannte Schwachstelle, sondern die aktuelle Credential- und Leak-Kampagne. Nach Angaben von Sicherheitsforschern wurden Konfigurationsdaten aus internetnahen Fortinet-Geräten gesammelt und daraus Zugangsdaten oder Hashes gewonnen. In einigen Berichten ist von funktionierenden Administrator-Zugangsdaten die Rede. Genau dieser Punkt macht die Lage so kritisch.
Eine Firewall ist kein normales Endgerät. Sie kennt VPN-Benutzer, Routing, interne Netze, Policy-Regeln, erlaubte Managementzugänge, Tunnel, Zertifikate und teilweise Integrationen in Active Directory oder LDAP. Ein Angreifer mit Admin-Zugang kann Regeln ändern, neue Konten anlegen, VPN-Zugriffe vorbereiten, Logging reduzieren oder Konfigurationen exportieren. Das schafft Initial Access für Datendiebstahl, Spionage oder Ransomware.
Die Angriffswelle passt zu einem Muster der vergangenen Monate. Fortinet-Geräte waren mehrfach Ziel aktiver Kampagnen, weil Netzwerkgeräte am Perimeter besonders wertvoll sind. Angreifer müssen dann nicht zuerst einen Arbeitsplatz infizieren. Sie setzen direkt am Übergang zwischen Internet, VPN und internem Netz an. Für Unternehmen ist das gefährlich, weil Firewalls oft als Schutzsystem behandelt werden, aber selbst regelmäßige Härtung, Monitoring und Zugangskontrolle brauchen.
Besonders kritisch sind öffentlich erreichbare Administrationsoberflächen, SSL-VPN-Portale, veraltete FortiOS-Versionen, alte lokale Admin-Konten, gemeinsam genutzte Passwörter und nicht rotierte Dienstkonten. Auch Geräte, die bereits gepatcht wurden, können gefährdet bleiben, falls Zugangsdaten aus früheren Konfigurationsabflüssen weiter gültig sind.
Was Unternehmen jetzt sofort prüfen sollten
Der erste Schritt ist eine erzwungene Passwortrotation für alle lokalen Fortinet-Administratoren. Das betrifft nicht nur das Konto „admin“, sondern jedes lokale Administratorkonto, API-Konto und jedes Konto mit erweiterten Rechten. Danach sollten Unternehmen prüfen, ob die Zugangsdaten an anderer Stelle wiederverwendet wurden. Passwort-Reuse macht aus einem Firewall-Leak schnell ein Domänenproblem.
Der zweite Schritt betrifft VPN-Zugänge. Unternehmen sollten VPN-Nutzer, Gruppen, LDAP- und RADIUS-Anbindungen, MFA-Status und verdächtige Login-Versuche prüfen. MFA sollte für Admin-Zugänge und VPN-Zugänge verpflichtend sein. Reine Passwortauthentifizierung ist bei einer Credential-Harvesting-Welle zu schwach. Auch deaktivierte Mitarbeiterkonten, alte externe Dienstleister und temporäre Projektzugänge gehören in den Review.
Der dritte Schritt ist die Kontrolle der Konfiguration. Admins sollten neue oder geänderte Konten, unerwartete Firewall-Regeln, geänderte VPN-Policies, neue Portweiterleitungen, veränderte Logging-Einstellungen, unbekannte Zertifikate und ungewöhnliche Admin-Profile suchen. Exportierte oder manipulierte Konfigurationen können Hinweise auf einen früheren Zugriff liefern.
Der vierte Schritt ist Log- und Netzwerkforensik. Relevant sind erfolgreiche Admin-Logins, wiederholte fehlgeschlagene Logins, Zugriffe aus fremden Ländern, Login-Zeiten außerhalb normaler Betriebsfenster, Konfigurationsdownloads, HA-Synchronisationsereignisse, neue Administrator-Sessions und ungewöhnliche CLI-Befehle. Unternehmen sollten diese Daten nicht nur auf der Firewall suchen, sondern auch in SIEM, EDR, VPN-Logs und Identitätsplattformen abgleichen.
Patchen bleibt trotzdem Pflicht. Die aktuelle Fortinet-Welle wird zwar nicht als neuer Advisory-Fall beschrieben, aber alte Schwachstellen und alte Zugangsdaten verstärken sich gegenseitig. FortiOS, FortiProxy, FortiManager und angrenzende Komponenten sollten auf unterstützten Versionen laufen. Wer Management-Zugänge aus dem Internet erreichbar lässt, sollte diese Architektur kurzfristig überprüfen und auf dedizierte Admin-Netze, VPN mit MFA oder Jump-Hosts umstellen.
Warum Passwortwechsel allein nicht reicht
Ein reiner Passwortwechsel kann einen laufenden Zugriff beenden. Er beweist aber nicht, dass kein Angreifer im Netzwerk war. Unternehmen sollten deshalb mindestens die letzten Wochen rückwirkend prüfen. Besonders wichtig sind lokale Admin-Konten, neue VPN-Benutzer, unbekannte SSH-Schlüssel, geänderte Zertifikate, neue SSO- oder LDAP-Konfigurationen und verdächtige Tunnelverbindungen.
Auch nachgelagerte Systeme gehören in den Blick. Ein Angreifer, der über FortiGate hineinkam, kann sich bereits auf Servern, Identitätsdiensten oder Backup-Systemen bewegt haben. Deshalb sollten Teams neben der Firewall auch Domain Controller, VPN-Zielsysteme, kritische Server und Backup-Infrastruktur auf ungewöhnliche Anmeldungen prüfen. Ghacks hatte zuletzt die kritische Splunk-Enterprise-Lücke eingeordnet. Beide Fälle zeigen dasselbe Grundproblem: Sicherheits- und Monitoring-Systeme werden selbst zu hochwertigen Angriffszielen.
Für Entscheider ist die Fortinet-Welle ein Test für Incident-Readiness. Viele Organisationen haben Patch-Prozesse, aber keine schnelle Routine für Massenrotation von Firewall-, VPN- und Dienstkonto-Zugangsdaten. Genau diese Fähigkeit wird bei Credential-Leaks entscheidend. Wer Tage braucht, um Konten, Abhängigkeiten und Zuständigkeiten zu klären, lässt Angreifern Zeit für Persistenz.
Die wichtigste Maßnahme für die laufenden Tage ist deshalb ein kombinierter Plan: Passwörter rotieren, MFA erzwingen, Managementzugänge einschränken, Logs auswerten, Konfigurationen vergleichen und Fortinet-Systeme auf unterstützte Versionen bringen. Die Fortinet-Welle ist nicht nur ein Passwortproblem. Sie ist ein Perimeter-Test für Unternehmen, die Firewalls, VPNs und Identitäten als zusammenhängende Angriffsfläche behandeln müssen.