FortiBleed: Zugangsdaten von rund 86.000 FortiGate-Geräten geleakt — CISA warnt Fortinet-Kunden

Kurzfazit
Ein als „FortiBleed“ bezeichneter Leak hat Firewall- und VPN-Zugangsdaten von zehntausenden internetexponierten Fortinet-Geräten offengelegt — Berichte nennen 73.000 bis rund 86.000 betroffene Geräte, etwa die Hälfte der erreichbaren Fortinet-Firewalls/VPNs. CISA fordert Fortinet-Kunden auf, ihre Geräte angesichts laufender bösartiger Aktivität abzusichern.
Was ist passiert?
Unter dem Namen FortiBleed wurde ein großflächiger Leak von Zugangsdaten internetexponierter Fortinet-Geräte bekannt. Die Berichte nennen unterschiedliche Zahlen: BleepingComputer spricht zunächst von 73.932 offengelegten Firewall-/VPN-Zugangsdaten, später von nahezu 74.000; The Hacker News und CISA beziffern die betroffenen FortiGate-Geräte auf 86.644. SecurityWeek ordnet ein, dass damit etwa die Hälfte der internet-erreichbaren Fortinet-Firewalls und -VPNs betroffen ist. CISA hat Fortinet-Kunden aufgefordert, angesichts laufender bösartiger Aktivität Schutzmaßnahmen zu ergreifen.
Warum ist das relevant?
Fortinet-Firewalls und -VPNs sind klassische Perimeter-Eintrittspunkte. Geleakte VPN-Zugangsdaten ermöglichen Angreifern potenziell direkten, augenscheinlich legitimen Zugang in interne Netze — ohne Exploit, allein über gültige Credentials. Bei laufender Ausnutzung zählt jede Stunde: betroffene Organisationen müssen davon ausgehen, dass ihre Zugangsdaten bereits kursieren.
Betroffene Branchen und Technologien
Betroffen ist die Technologie network-perimeter (FortiGate-Firewalls/VPNs). Eine branchenspezifische Eingrenzung geht aus den Quellen nicht hervor — der Leak betrifft Organisationen weltweit über alle Branchen hinweg, die exponierte Fortinet-Geräte betreiben.
Priorisierungssignale
- Großflächiger Credential-Leak (zehntausende Geräte, ~Hälfte der erreichbaren Fortinet-VPNs)
- CISA-Warnung wegen laufender bösartiger Aktivität
- Gültige Zugangsdaten als Vektor (kein Exploit nötig)
Defensive Empfehlungen
- Alle Zugangsdaten betroffener bzw. potenziell betroffener FortiGate-/VPN-Geräte umgehend zurücksetzen (lokale Konten und Service-Accounts).
- Multi-Faktor-Authentifizierung für den VPN-Zugang durchsetzen, um geleakte Passwörter zu entwerten.
- VPN- und Firewall-Logs auf Anmeldungen mit bekannten/exponierten Konten und ungewöhnliche Quell-IPs prüfen.
- Internet-Exposition des Management-Interfaces minimieren und die CISA-Hinweise zur Absicherung umsetzen.
Quellenhinweise
Grundlage sind übereinstimmende Berichte von The Hacker News, SecurityWeek und BleepingComputer sowie die CISA-Warnung. Die genaue Geräteanzahl variiert je nach Quelle (73.000–86.644).
Was Security-Teams jetzt prüfen sollten
- 1Zugangsdaten betroffener/exponierter FortiGate- und VPN-Geräte umgehend zurücksetzen (lokale Konten + Service-Accounts).
- 2MFA für den VPN-Zugang durchsetzen, um geleakte Passwörter zu entwerten.
- 3VPN-/Firewall-Logs auf Logins exponierter Konten und ungewöhnliche Quell-IPs prüfen.
- 4Internet-Exposition des Management-Interfaces minimieren und CISA-Härtungshinweise umsetzen.
- 5Bei Anzeichen von Zugriff betroffene Geräte als potenziell kompromittiert behandeln.
Betroffene Technologien
Transparenz & Redaktion
- Analyse: SecBoard Research
- Redaktionell verantwortlich: Eike Fellgiebel
- KI-gestützte Erstellung: Quellen-Clustering, Erstentwurf und Übersetzung erfolgen KI-gestützt auf Basis der verlinkten Originalquellen.
- Stand: 29. Juni 2026