FortiBleed-Attacke: 86.644 Netzwerk-Geräte weltweit kompromittiert
20.06.2026 - 13:35:56 | boerse-global.de
Eine groß angelegte Cyberoperation namens „FortiBleed" hat nach Erkenntnissen von Sicherheitsbehörden weltweit Zugangsdaten von Zehntausenden Netzwerkgeräten erbeutet. Betroffen sind rund 86.644 FortiGate-Systeme in 194 Ländern – darunter auch zahlreiche europäische und deutsche Unternehmen.
Angreifer setzen auf schwache Passwörter statt Softwarelücken
Der Hersteller Fortinet stellte am 19. Juni klar: Die Attacke beruht nicht auf einer neuen Sicherheitslücke. Die Täter nutzen vielmehr wiederverwendete Zugangsdaten aus früheren Datenlecks und führen groß angelegte Brute-Force-Angriffe auf Systeme ohne Mehrfaktor-Authentifizierung (MFA) durch.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenlosen Sicherheits-Ratgeber herunterladen
Die Sicherheitsfirmen Hudson Rock und Recorded Future identifizierten einen Datensatz mit über 73.000 einzigartigen FortiGate-URLs und mehr als 21.600 Domains. Die Analyse zeigt das ganze Ausmaß: Die Angreifer – eine russischsprachige Gruppe – mieteten über Cloud-Dienste 36 bis 45 leistungsstarke GPUs an, um Passwort-Hashes zu knacken.
Die Zahlen sind alarmierend: Die Ermittler registrierten 1,16 Milliarden Anmeldeversuche gegen 320.777 FortiGate-Geräte und 2,1 Milliarden Versuche gegen MSSQL-Datenbanken.
Wer ist betroffen?
Unter den kompromittierten Systemen befinden sich Regierungsbehörden, Telekommunikationsanbieter, Finanzinstitute und Gesundheitsorganisationen. Besonders brisant: Ein NATO-Auftragnehmer in der Türkei taucht im Datensatz auf.
Die Analyse der geknackten Konten zeigt ein bekanntes Problem: 35 Prozent waren generische Administrator-Konten, 28,3 Prozent vorinstallierte Systemkonten. „Das sind genau die Accounts, die oft keine MFA haben und mit Standardpasswörtern geschützt sind", erklärt ein Sicherheitsexperte.
IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Dieses Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. Gratis-E-Book jetzt anfordern
Sofortmaßnahmen für betroffene Unternehmen
Fortinet und die US-Cybersicherheitsbehörde CISA empfehlen betroffenen Administratoren:
- Alle aktiven Sitzungen sofort beenden
- Passwort-Reset für sämtliche Nutzer erzwingen
- MFA für alle Konten aktivieren
Ein Upgrade auf FortiOS 7.4, 7.6 oder 8.0 bringt zudem eine deutliche Verbesserung: Die Systeme setzen dann das sicherere PBKDF2-Hashing für Administrator-Zugangsdaten ein. Das macht das Knacken von Passwörtern erheblich schwieriger. Allerdings: Die neuen Hash-Verfahren greifen erst, wenn sich der Admin nach dem Update einmal anmeldet.
Zusätzlich sollten Unternehmen den Management-Zugriff auf vertrauenswürdige IP-Adressen beschränken und die Systemlogs auf unautorisierte Konfigurationsexporte oder neue Admin-Konten prüfen.
Weitere kritische Sicherheitslücken entdeckt
Die CISA hat in dieser Woche mehrere weitere Schwachstellen in ihren Katalog bekannter Sicherheitslücken aufgenommen:
Splunk Enterprise (CVE-2026-20253): Die Schwachstelle mit einem CVSS-Score von 9,8 betrifft einen PostgreSQL-Dienst, dem die Authentifizierung fehlt. Angreifer können damit Code aus der Ferne ausführen. Ein Proof-of-Concept ist seit dem 12. Juni öffentlich verfügbar.
LiteSpeed cPanel-Plugin (CVE-2026-54420): Ein symbolischer Link-Fehler erlaubt unbefugten Zugriff auf sensible Dateien in Shared-Hosting-Umgebungen. Bundesbehörden in den USA mussten diese Lücke bis zum 18. Juni schließen.
Gefahren für ältere und spezialisierte Systeme
Auch ältere Systeme bleiben im Fokus der Angreifer. Beim Wing FTP Server nutzen Hacker eine Kombination aus Informationsoffenlegung und Code-Ausführung, um Überwachungstools zu installieren.
Forscher entdeckten zudem mehrere Schwachstellen in IP-KVM-Switches (Tastatur, Video, Maus) der Marken GL-iNet und JetKVM. Während einige Hersteller Patches planen, gibt es für andere Geräte bislang keine Sicherheitsupdates.
Im Bereich Unternehmenssoftware hat Oracle PeopleSoft kürzlich einen Notfall-Patch für CVE-2026-35273 veröffentlicht. Die Sicherheitslücke wurde bereits als Zero-Day von der Gruppe ShinyHunters ausgenutzt. Etwa 300 Installationen in über 100 Organisationen waren betroffen.
