Die FortiBleed-Schande – Passwörter aus der Steinzeit.
Die „FortiBleed“-Kampagne erbeutete über 86.000 aktive Fortinet-Zugangsdaten durch Brute-Force und wiederverwendete Passwörter, Dies offenbart ein systemisches Versagen bei der Absicherung privilegierter Zugriffe. Sicherheitsverantwortliche müssen nun dringend grundlegende Maßnahmen wie Passwort-Rotation und PAM-Lösungen implementieren, um derartige Angriffe abzuwehren.
Zusammenfassung (TL; DR):
- Die „FortiBleed“-Kampagne nutzt keine neuen Schwachstellen. Sie erbeutete über 86.000 aktive Fortinet-Zugangsdaten durch Brute-Force und wiederverwendete Passwörter.
- Dies offenbart ein systemisches Versagen bei der Absicherung privilegierter Zugriffe und mangelnde Multifaktor-Authentifizierung (MFA) auf globaler Ebene.
- Sicherheitsverantwortliche müssen nun dringend grundlegende Maßnahmen wie Passwort-Rotation und PAM-Lösungen implementieren, um derartige industrielle Angriffe abzuwehren.
Fortinet gibt an, dass die groß angelegte Kampagne zum Abgreifen von Anmeldedaten, die derzeit die Firewalls und VPNs seiner Kunden ins Visier nimmt, keine neuen Schwachstellen ausnutzt. Im Rahmen dieser Kampagne, die unter dem Namen FortiBleed bekannt ist, haben Bedrohungsakteure eine Datenbank mit über 86.000 bestätigten funktionierenden Anmeldedaten für Fortinet-Geräte in 194 Ländern angelegt. „Laut unserer ersten Analyse gehen wir davon aus, dass die Aktivitäten darauf beruhen, dass Bedrohungsakteure Anmeldedaten aus früheren Vorfällen wiederverwenden. Sie setzen Brute-Force-Methoden gegen Geräte mit schwacher Passwort-Hygiene und ohne Multi-Faktor-Authentifizierung (MFA) ein“, so das Unternehmen.
Die Ursache: Wiederverwendung von Anmeldedaten und Brute-Force-Angriffe
Fortinet bestätigt, dass der FortiBleed-Vorfall nicht durch die Ausnutzung einer Zero-Day-Schwachstelle verursacht wurde. Sondern die Wiederverwendung von Anmeldedaten, Brute-Force-Angriffe und das Fehlen von Multi-Faktor-Authentifizierung (MFA) gilt als Ursache. Doch dies ist möglicherweise noch alarmierender, als es bei einer neuen Schwachstelle der Fall wäre.
Geräte, die dem Internet ausgesetzt sind und schwache Passwörter, keine MFA sowie unveränderte Anmeldedaten seit früheren Kompromittierungen aufweisen, sind keine Nischen-Konfigurationsprobleme. Sie stellen ein systemisches Versagen bei der Steuerung des privilegierten Zugriffs dar, das in der gesamten Unternehmenslandschaft weiterbesteht. Mit über 86.000 bestätigten funktionierenden Anmeldedaten, gesammelt in 194 Ländern, handelt es sich hier um ein Problem der Anmeldedaten-Hygiene, das in industriellem Ausmaß auftritt.
Wenig Vertrauen in Authentifizierungskontrollen
Dass die Werkzeuge, um einen solchen Vorfall zu verhindern, bereits existieren, aber nicht genutzt wurden, sollte für deutsche Sicherheitsverantwortliche ein Weckruf sein. Die Forschung von Keeper Security aus dem Jahr 2026 zeigt, dass zwar 43 Prozent der deutschen Organisationen Privileged Access Management (PAM) vollständig eingeführt haben, aber weniger als die Hälfte ein hohes Vertrauen in ihre Authentifizierungskontrollen angibt. Für Organisationen ohne PAM-Lösung ist die Gefährdung keine theoretische. FortiBleed ist eine präzise Veranschaulichung dessen, wie unkontrollierter privilegierter Zugriff im großen Maßstab aussieht.
Die Empfehlungen von Fortinet zur Behebung des Problems – Rotation der Anmeldedaten, Erzwingen von MFA, Einschränkung des externen Verwaltungszugriffs und Überprüfung auf nicht autorisierte Konfigurationsänderungen – spiegeln die Grundanforderungen wider, die PAM-Disziplinen stellen. Doch für Organisationen, die diese Schritte nicht nach den ursprünglichen Warnungen aus dem späten Jahr 2025 und frühen Jahr 2026 umgesetzt haben, stellt sich die Frage: Warum? Nicht gepatchte, unzureichend verwaltete privilegierte Zugriffe bergen ein aktives Risiko mit weitreichenden Folgen.


