FortiBleed: Wenn die alte FortiGate-Firewall offen liegt

Die Firewall, an die niemand mehr denkt

In vielen kleinen Betrieben steht am Internetanschluss eine FortiGate-Firewall. Sie wurde vor Jahren eingerichtet, sie läuft, und seither schaut kaum jemand nach ihr. Genau dieses Muster hat eine Kampagne ausgenutzt, die Sicherheitsforscher unter dem Namen FortiBleed öffentlich gemacht haben. Mitte Juni 2026 wurde bekannt, dass aus den Konfigurationsdateien tausender internet-exponierter FortiGate-Geräte Administrator-Zugangsdaten erbeutet und anschließend geknackt wurden. Dieser Beitrag erklärt, was dahintersteckt, warum vor allem ältere Firmware betroffen ist — und in welcher Reihenfolge Sie jetzt vorgehen sollten.

Auf einen Blick

• Die Kampagne: FortiBleed — von Sicherheitsforschern (unter anderem Hudson Rock und Arctic Wolf) aufgedeckt und Mitte Juni 2026 öffentlich gemacht.
• Das Problem: Aus den Konfigurations-Exports internet-erreichbarer FortiGate-Firewalls wurden Admin-Zugangsdaten extrahiert und per Brute-Force geknackt.
• Die Größenordnung: rund 74.000 betroffene Geräte (Hudson Rock) in 194 Ländern — die Schätzungen anderer Quellen liegen tiefer, in Deutschland geht es um etwa 120 Geräte.
• Die Kernursache: veraltete Firmware, die Passwörter mit dem schwächeren SHA-256-Verfahren speichert (Stand vor FortiOS 7.2.11 / 7.4.8 / 7.6.1).
• Die Abhilfe: Management und VPN vom offenen Internet trennen, Passwörter zurücksetzen, MFA erzwingen und auf eine aktuelle FortiOS-Version aktualisieren.

Was bei FortiBleed passiert ist

Eine FortiGate-Firewall hält eine Konfigurationsdatei vor — quasi den Bauplan des Geräts mit Regeln, Benutzern und gespeicherten Anmeldedaten. Bei FortiBleed gelangten Angreifer an solche Konfigurations-Exports von Geräten, deren Verwaltungsoberfläche oder SSL-VPN aus dem Internet erreichbar war. Darin standen unter anderem die Administrator-Passwörter — nicht im Klartext, aber als sogenannte Hash-Werte, also als verschlüsselte Prüfsummen.

Und genau hier liegt der Hebel. Ältere FortiOS-Versionen sichern diese Passwörter mit dem Verfahren SHA-256 ab. Das war einmal üblich, gilt für diesen Zweck aber als zu schwach: Mit genügend Rechenleistung lassen sich solche Hashes per Brute-Force zurückrechnen, das System probiert also massenhaft Kombinationen durch, bis das ursprüngliche Passwort gefunden ist. Neuere Firmware nutzt stattdessen PBKDF2, ein Verfahren, das gezielt langsam rechnet und das Durchprobieren damit unwirtschaftlich macht. Die Trennlinie verläuft bei den Versionen FortiOS 7.2.11, 7.4.8 und 7.6.1 — alles darunter speichert die Passwörter noch nach der angreifbaren Methode.

Nach Erkenntnissen der Forscher waren rund 74.000 Geräte betroffen (Hudson Rock nennt 73.932) — etwa die Hälfte aller öffentlich erreichbaren FortiGates. Diese Zahl ist die obere Grenze; andere Auswertungen kommen auf deutlich niedrigere Werte, sodass realistisch von einer Spanne auszugehen ist. In Deutschland geht es um eine vergleichsweise kleine Zahl von etwa 120 Geräten. Heikel ist weniger die Menge als der Inhalt: In den erbeuteten Konfigurationsdateien standen neben den Passwörtern teils auch Firmennamen und weitere Angaben aus den Beständen — Material, mit dem sich ein Angreifer gezielt das passende Opfer aussuchen kann.

Warum die FortiSandbox-Lücken eine andere Geschichte sind

Parallel zu FortiBleed kursierten im Juni 2026 Meldungen über Schwachstellen in FortiSandbox, einem separaten Produkt zur Schadsoftware-Analyse. Dazu zählen unter anderem CVE-2026-39813 (ein Authentifizierungs-Bypass mit Path-Traversal, ausgenutzt ab dem 15. Juni) und das bereits Anfang Juni geschlossene CVE-2026-25089. Diese Lücken sind real und gehören gepatcht — aber sie sind nicht der nachgewiesene Weg, über den FortiBleed an die Konfigurationsdaten gelangt ist.

Diese Unterscheidung ist wichtig, weil sie leicht verschwimmt. Die Forscher von Arctic Wolf ordnen FortiBleed bewusst keiner einzelnen CVE-Kennung zu: Der genaue Extraktionsweg ist nicht zweifelsfrei geklärt. Wer FortiBleed kurzerhand einer der FortiSandbox-Nummern zuschreibt, zieht einen Schluss, den die Quellen nicht hergeben. Für Sie als Betreiber heißt das praktisch: Beide Stränge sind ernst zu nehmen, aber sie verlangen je eigene Maßnahmen — die Sandbox-Lücken über das passende Update, FortiBleed über die unten beschriebene Absicherung des Zugangs.

Eine Randnotiz am Rande, die zum Bild des Jahres passt: Der für CVE-2026-25089 kursierende Exploit-Code trug laut Analyse Spuren maschineller Erzeugung — und war fehlerhaft. KI senkt die Einstiegshürde für Angreifer, macht ihre Werkzeuge aber nicht automatisch zuverlässig.

Was Sie jetzt tun sollten

Wenn in Ihrem Netz eine FortiGate-Firewall steht — selbst betrieben oder von einem Dienstleister betreut —, gehen Sie die folgenden Punkte der Reihe nach durch:

• Erreichbarkeit prüfen: Klären Sie zuerst, ob die Verwaltungsoberfläche oder das SSL-VPN Ihrer FortiGate überhaupt aus dem öffentlichen Internet erreichbar ist. Nur dann greift das FortiBleed-Risiko in voller Schärfe. Diese Frage sollte Ihre IT innerhalb eines Tages beantworten können.
• Management vom Internet trennen: Die Verwaltungsoberfläche gehört nicht ins offene Internet. Beschränken Sie den Zugriff auf das interne Netz oder auf einen abgesicherten Verwaltungsweg. Das entzieht künftigen Angriffen die Angriffsfläche und ist die wirksamste Einzelmaßnahme.
• Admin- und VPN-Passwörter zurücksetzen: Setzen Sie alle Administrator- und VPN-Zugangsdaten neu — mit frischen, ausreichend langen Passwörtern. Wichtig und ehrlich gesagt: Solange der genaue Weg in die Geräte nicht restlos geklärt ist, wirkt ein Passwortwechsel ohne Firmware-Update und ohne Abschottung des Managements womöglich nur vorübergehend. Der Reset ist nötig, aber er ist nicht der ganze Weg.
• MFA erzwingen: Aktivieren Sie für administrative und VPN-Zugänge eine Mehr-Faktor-Authentifizierung — also eine zweite Bestätigung zusätzlich zum Passwort. Selbst ein erbeutetes Passwort reicht dann allein nicht mehr für den Zugang.
• FortiOS aktualisieren: Bringen Sie das Gerät auf eine Version, die Passwörter bereits mit PBKDF2 sichert — mindestens FortiOS 7.2.11, 7.4.8 oder 7.6.1. Das schließt die eigentliche Ursache und macht künftige Konfigurations-Exports deutlich weniger ergiebig.
• Konfiguration durchsehen: Prüfen Sie die laufende Konfiguration auf unbekannte Administrator-Konten, ungewohnte Regeln und Zugänge, die zu keinem Mitarbeiter passen. Wer Anlass zur Sorge hat, dass Daten bereits abgeflossen sind, sollte die betroffenen Zugänge als kompromittiert behandeln.

Unsere Einschätzung

FortiBleed führt vor Augen, wie ein Gerät, „das doch nur läuft", zur offenen Flanke wird. Die Firewall ist schnell angeschafft und eingerichtet — die Routine, ihren Firmware-Stand zu pflegen und sie aus dem offenen Internet herauszuhalten, fehlt in kleinen Betrieben dagegen oft. Das ist kein Vorwurf, sondern eine Frage der Kapazität: Niemand kann nebenbei jede Sicherheitsmeldung verfolgen.

Genau diese Daueraufgabe übernehmen wir für unsere Kunden. Wir prüfen, ob Ihre Geräte am Netzwerkrand sauber abgeschottet sind, halten ihren Firmware-Stand aktuell und behalten Warnungen wie diese im Blick — damit aus einer alten Konfigurationsdatei kein Einfallstor wird.