FortiBleed: Zehntausende Firewalls in 194 Ländern infiltriert

Die als „FortiBleed“ bekannte Kampagne zielt auf administrative Zugangsdaten ab und verschafft Angreifern Zugang zu Unternehmensnetzwerken.

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Experten-Checkliste zur Cyber-Security jetzt kostenlos sichern

Angriff im großen Stil

Sicherheitsforscher von SOCRadar und der unabhängige Analyst Volodymyr Diachenko entdeckten die Datenlecks auf einem offenen Server. Die Analyse zeigt: Zwischen 73.932 und 86.644 eindeutige Firewall-URLs wurden offengelegt. Betroffen sind Organisationen in 194 Ländern – mit einem Schwerpunkt in Indien, den USA, Taiwan und Mexiko. Auch zahlreiche NATO-Mitgliedsstaaten sind betroffen.

Die Attacke trifft mehrere Branchen: Telekommunikation, Finanzen, Gesundheitswesen und Regierungen. In Deutschland wurden mehr als 100 Domains identifiziert, darunter namhafte Unternehmen wie die Telekom und Mercedes-Benz. Weltweit sind laut SOCRadar fast 600 Regierungseinträge in den geleakten Daten enthalten.

Technische Vorgehensweise

Die Angreifer nutzten keine bisher unbekannte Sicherheitslücke. Stattdessen setzten sie auf Credential-Spraying und automatisierte Scans: Rund 1,16 Milliarden Login-Kombinationen testeten sie gegen 320.000 Geräte. Ein Cluster von bis zu 48 GPUs half dabei, administrative Passwort-Hashes zu knacken. Besonders anfällig: ältere SHA-256-Hashes.

Die Liste der betroffenen Großkonzerne liest sich wie ein Who's who der Weltwirtschaft: Samsung, Siemens, Foxconn, Oracle, Lenovo und AT&T. Auch Dienstleister wie Accenture, PwC, DHL und FedEx sind darunter.

Mindestens vier Organisationen wurden vollständig kompromittiert. Der kritischste Vorfall: Ein türkischer Rüstungszulieferer der NATO, bei dem Angreifer angeblich das Active Directory infiltrierten und sensible Verteidigungsdokumente stahlen. Sicherheitsexperten warnen: Kompromittierte Geräte werden zu „Lauschposten“, über die Angreifer weitere Zugangsdaten sammeln und in interne Systeme wie RADIUS-Server vordringen.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. Kostenloses Anti-Phishing-Paket herunterladen

Was jetzt zu tun ist

Fortinet betont, die gestohlenen Zugangsdaten stammten vermutlich aus Brute-Force-Angriffen und früheren Sicherheitsvorfällen – nicht aus einer neuen Schwachstelle. Einige Forscher widersprechen: Die IP-Adressen im aktuellen Leck unterschieden sich von historischen Datensätzen.

Das australische Cyber-Sicherheitszentrum (ACSC) und andere Behörden haben dringende Empfehlungen herausgegeben:
- Sofortiger Passwortwechsel für alle administrativen und VPN-Zugänge
- Multi-Faktor-Authentifizierung (MFA) für alle Konten aktivieren

Technisch versierte Administratoren sollten beachten: Neuere FortiOS-Versionen (7.2.11, 7.4.8, 7.6.1) nutzen das sicherere PBKDF2-Hashing. Ältere SHA-256-Hashes bleiben jedoch im System, bis ein Administrator manuell einloggt und die Zugangsdaten nach einem Software-Update erneuert. Zusätzlich empfehlen Experten, Management-Schnittstellen vom öffentlichen Internet zu trennen – um weitere automatisierte Angriffe zu verhindern.

de | wissenschaft | 69579701 |