SecBoard
HochBranchenlageScore: 20/100

FortiBleed: Zugangsdaten von rund 86.000 FortiGate-Geräten geleakt — CISA warnt Fortinet-Kunden

29. Juni 2026
FortiBleed: Zugangsdaten von rund 86.000 FortiGate-Geräten geleakt — CISA warnt Fortinet-Kunden

Kurzfazit

Ein als „FortiBleed“ bezeichneter Leak hat Firewall- und VPN-Zugangsdaten von zehntausenden internetexponierten Fortinet-Geräten offengelegt — Berichte nennen 73.000 bis rund 86.000 betroffene Geräte, etwa die Hälfte der erreichbaren Fortinet-Firewalls/VPNs. CISA fordert Fortinet-Kunden auf, ihre Geräte angesichts laufender bösartiger Aktivität abzusichern.

Was ist passiert?

Unter dem Namen FortiBleed wurde ein großflächiger Leak von Zugangsdaten internetexponierter Fortinet-Geräte bekannt. Die Berichte nennen unterschiedliche Zahlen: BleepingComputer spricht zunächst von 73.932 offengelegten Firewall-/VPN-Zugangsdaten, später von nahezu 74.000; The Hacker News und beziffern die betroffenen FortiGate-Geräte auf 86.644. SecurityWeek ordnet ein, dass damit etwa die Hälfte der internet-erreichbaren Fortinet-Firewalls und -VPNs betroffen ist. hat Fortinet-Kunden aufgefordert, angesichts laufender bösartiger Aktivität Schutzmaßnahmen zu ergreifen.

Warum ist das relevant?

Fortinet-Firewalls und -VPNs sind klassische Perimeter-Eintrittspunkte. Geleakte VPN-Zugangsdaten ermöglichen Angreifern potenziell direkten, augenscheinlich legitimen Zugang in interne Netze — ohne , allein über gültige Credentials. Bei laufender Ausnutzung zählt jede Stunde: betroffene Organisationen müssen davon ausgehen, dass ihre Zugangsdaten bereits kursieren.

Betroffene Branchen und Technologien

Betroffen ist die Technologie network-perimeter (FortiGate-Firewalls/VPNs). Eine branchenspezifische Eingrenzung geht aus den Quellen nicht hervor — der Leak betrifft Organisationen weltweit über alle Branchen hinweg, die exponierte Fortinet-Geräte betreiben.

Priorisierungssignale

  • Großflächiger Credential-Leak (zehntausende Geräte, ~Hälfte der erreichbaren Fortinet-VPNs)
  • CISA-Warnung wegen laufender bösartiger Aktivität
  • Gültige Zugangsdaten als Vektor (kein nötig)

Defensive Empfehlungen

  • Alle Zugangsdaten betroffener bzw. potenziell betroffener FortiGate-/VPN-Geräte umgehend zurücksetzen (lokale Konten und Service-Accounts).
  • für den VPN-Zugang durchsetzen, um geleakte Passwörter zu entwerten.
  • VPN- und Firewall-Logs auf Anmeldungen mit bekannten/exponierten Konten und ungewöhnliche Quell-IPs prüfen.
  • Internet-Exposition des Management-Interfaces minimieren und die CISA-Hinweise zur Absicherung umsetzen.

Quellenhinweise

Grundlage sind übereinstimmende Berichte von The Hacker News, SecurityWeek und BleepingComputer sowie die CISA-Warnung. Die genaue Geräteanzahl variiert je nach Quelle (73.000–86.644).

Was Security-Teams jetzt prüfen sollten

  • 1Zugangsdaten betroffener/exponierter FortiGate- und VPN-Geräte umgehend zurücksetzen (lokale Konten + Service-Accounts).
  • 2MFA für den VPN-Zugang durchsetzen, um geleakte Passwörter zu entwerten.
  • 3VPN-/Firewall-Logs auf Logins exponierter Konten und ungewöhnliche Quell-IPs prüfen.
  • 4Internet-Exposition des Management-Interfaces minimieren und CISA-Härtungshinweise umsetzen.
  • 5Bei Anzeichen von Zugriff betroffene Geräte als potenziell kompromittiert behandeln.

Betroffene Technologien

network-perimeter

Transparenz & Redaktion

  • Analyse: SecBoard Research
  • Redaktionell verantwortlich: Eike Fellgiebel
  • KI-gestützte Erstellung: Quellen-Clustering, Erstentwurf und Übersetzung erfolgen KI-gestützt auf Basis der verlinkten Originalquellen.
  • Stand: 29. Juni 2026
Wie SecBoard arbeitet: Methodik & Quellen
#Fortinet#FortiGate#FortiBleed#VPN#Credential Leak#CISA#Perimeter