FortiBleed: Wenn nicht die Lücke das Problem ist, sondern die Zugangsdaten

Fortinet-Firewalls stehen in unzähligen Schweizer KMU am Übergang zwischen Internet und Firmennetz. Genau das macht ein Vorfall wie die unter dem Namen FortiBleed bekannt gewordene Kampagne so brisant: Das Gerät, das schützen soll, wird selbst zum Einfallstor, und zwar nicht über einen Software-Fehler, sondern über kompromittierte Zugangsdaten.

Was ist FortiBleed?

Anders als der Name vermuten lässt, handelt es sich nicht um eine klassische Sicherheitslücke, die man mit einem Update schliesst. FortiBleed ist eine grossangelegte Credential-Harvesting-Kampagne: Angreifer verwenden Zugangsdaten aus früheren Vorfällen wieder und kombinieren sie mit Brute-Force-Angriffen gegen Geräte mit schwacher Passwort-Hygiene und ohne Mehrfaktor-Authentisierung. Fortinet stellt ausdrücklich klar, dass keine neue FortiOS-Schwachstelle dahintersteckt. Betroffen sind vor allem internet-exponierte Firewall-, VPN- und Management-Oberflächen. Wichtig ist weniger der Name als das Muster: exponierte Sicherheitsgeräte mit wiederverwendeten Passwörtern sind ein bevorzugtes Ziel.

Warum Edge-Geräte so attraktiv für Angreifer sind

Firewalls und VPN-Gateways sind per Definition aus dem Internet erreichbar und haben eine privilegierte Position im Netzwerk. Wird ein solches Gerät übernommen, steht der Angreifer faktisch schon im Inneren. Hinzu kommt: Sobald eine Schwachstelle oder ein Datensatz mit gültigen Zugangsdaten kursiert, scannen automatisierte Bots innerhalb von Stunden das halbe Internet nach verwundbaren Geräten ab, unabhängig von der Unternehmensgrösse. Ein kleiner Betrieb ist kein zu kleines Ziel, sondern oft das leichtere.

Wer ist betroffen?

Im Fokus steht jede Organisation, die eine FortiGate mit aus dem Internet erreichbarer Management- oder SSL-VPN-Oberfläche betreibt, besonders wenn Administrator- oder VPN-Passwörter noch als alte salted-SHA-256-Hashes gespeichert sind. Gerade in KMU bleibt das Rotieren von Zugangsdaten und das Erzwingen von MFA oft liegen, weil niemand zuständig ist. Genau diese Verzögerung ist das eigentliche Risiko.

Was Sie jetzt tun sollten

• Prüfen, ob Fortinet-Geräte im Einsatz sind, welchen Firmware-Stand sie haben und ob Management- oder VPN-Oberflächen aus dem Internet erreichbar sind.
• Alle Administrator- und VPN-Zugangsdaten umgehend rotieren. Das ist bei FortiBleed der zentrale Schritt, nicht das Patchen.
• MFA für sämtliche administrativen und VPN-Zugänge erzwingen.
• Auf eine FortiOS-Version aktualisieren, die PBKDF2-Hashing nutzt, und sich danach mit jedem Admin-Konto neu anmelden, damit die alten SHA-256-Hashes tatsächlich ersetzt werden.
• Aktive SSL-VPN- und Admin-Sessions beenden und die Logs rückwirkend auf unautorisierte Logins und Konfigurationsänderungen prüfen.
• Management-Oberflächen nie offen ins Internet stellen, sondern nur über gesicherte Wege (interne IPs, Out-of-Band, VPN-only).

Der eigentliche Punkt: Sicherheit am Perimeter ist ein Prozess, kein Einmalakt

FortiBleed zeigt eine unbequeme Wahrheit: Ein Patch-Fenster ist begrenzt, das Credential-Fenster nicht. Wer jede CVE schliesst, aber keine Passwörter rotiert und keine MFA erzwingt, bleibt exponiert. Die entscheidende Frage ist nicht, ob der nächste Vorfall kommt, sondern ob Ihre Firewall darauf vorbereitet ist. Das gelingt nur, wenn jemand die Advisories laufend im Blick hat, die eigenen Geräte kennt und Updates, Credential-Rotation und Härtung verlässlich umsetzt, statt im Tagesgeschäft unterzugehen.