Cyber Security

TI - Fortigate Credentials Leak ("Fortibleed")

von SOC Austria
1 Min. Lesezeit
19. Juni 2026

Beschreibung:

Im Juni 2026 wurde eine große Anzahl an kompromittieren Zugangsdaten für Fortigate Systeme veröffentlicht, diese betreffen weltweit ca. 75.000 Fortinet-Systeme in ungefähr 200 Ländern.
Die Echtheit der Daten wurden in weiterer Folge sowohl durch unabhängige Sicherheitsexperten als auch das Sicherheitsunternehmen Hudson Rock bestätigt, der "Leak" (beziehungsweise die Aktivitäten die zu diesem führten) wurden in weiterer Folge als "FortiBleed" tituliert.

Laut der Analyse ist die Quelle dieser Daten kein neuer Exploit, sondern die systematische Ausnutzung bereits bekannter oder schwacher Zugangsdaten, um Firewalls zu kompromittieren und gezielt weitere Zugangsdaten aus dem Netzwerkverkehr abzugreifen.
Hudson Rock zufolge fangen die Kriminellen dann gezielt weitere Hashes von Zugangsdaten ab und brechen diese mithilfe eines starken GPU-Clusters auf.

Empfohlene Maßnahmen:

Betreibende von Fortinet Systemen sollten sicherstellen, dass diese auf dem aktuellsten Patchstand sind und die Management Interfaces nicht direkt aus dem Internet erreichbar sind. 
Nach dem Update auf eine aktuelle FortiOS-Version (höher als 7.2.11, 7.4.8 oder 7.6.1) ist ein Passwortwechsel für alle Administratorkonten erforderlich, um das mit diesen Updates eingeführte PBKDF2-Hash-Verfahren für das Speichern der Passwörter zu erzwingen. 
Ebenso wichtig ist die flächendeckende Einführung von Multi-Faktor-Authentifizierung für alle externen Zugänge und Admin-Interfaces.
 
Hudson Rock bietet zudem ein kostenloses Tool an, mit dem Unternehmen prüfen können, ob ihre Domains in dem Datensatz auftauchen: hudsonrock.com/fortinet

Einschätzung der Bedrohung:

Zum Zeitpunkt der Veröffentlichung sind noch keine Angriffe unter Verwendung der geleakten Daten bekannt, eine kurzfristige Ausnutzung der Credentials ist nach der Veröffentlichung der geleakten Daten aber wahrscheinlich.
Daher sollten schnellstmöglich die empfohlenen Maßnahmen umgesetzt werden.

Weiterführende Links:

https://doublepulsar.com/fortibleed-75k-fortinet-firewalls-have-admin-passwords-cracked-60299faa65f8

https://www.cert.at/de/blog/2026/6/aktueller-stand-rund-um-fortibleed

 https://www.hudsonrock.com/blog/fortibleed-75000-fortinet-firewalls-compromised-global-enterprises-exposed-claim-your-ethical-disclosure

 https://hudsonrock.com/fortinet

Sie benötigen Unterstützung?

Unsere  Expert:innen im ACP Systems Operations Center (SOC) stehen Ihnen mit Rat und Tat zur Seite. Teilen Sie uns einfach über nachfolgendes Formular mit, bei welchem Problem wir Ihnen helfen können. 

Ihre Anfrage

Nächster Blogpost
← TI - Zipline Phishing Kampagnen
TI - CVE-2025-32756 - Fortinet Multiple Products Stack-Based Buffer Overflow Vulnerability
data protection #2
CVSS 9,6/10

TI - CVE-2025-32756 - Fortinet Multiple Products Stack-Based Buffer Overflow Vulnerability

16. Mai 2025 4 Min. Lesezeit
TI - CVE-2024-55591 - Fortigate - Authentication bypass in Node.js websocket module
data protection #2
CVSS 9,6/10

TI - CVE-2024-55591 - Fortigate - Authentication bypass in Node.js websocket module

17. Jänner 2025 2 Min. Lesezeit
Kritische FortiGate/FortiOS Schwachstellen
data protection #2
CVSS 10/10

Kritische FortiGate/FortiOS Schwachstellen

9. Februar 2024 1 Min. Lesezeit

Updates for innovators:
Abonnieren Sie unseren Blog.