22. Juni 2026
Beschreibung
Fortinet hat letzten Freitag, am 19.5.2026, nun auch ein offizielles
Statement zu "FortiBleed" veröffentlicht. Wir hatten zuvor in einem
[103]Blog-Artikel unseren aktuellen Wissensstand beschrieben. Bei
dieser Angriffswelle handelt es sich nicht um die Ausnutzung einer
neuen Schwachstelle. Die Angreifer:innen verwenden stattdessen
Zugangsdaten, die bei früheren Sicherheitsvorfällen (u. a. im
Zusammenhang mit CVE-2025-59718, CVE-2025-59719 und CVE-2026-24858)
erlangt wurden, sowie Brute-Force-Methoden gegen Geräte mit schwacher
Passworthygiene und ohne Multi-Faktor-Authentifizierung (MFA).
Externe Sicherheitsforscher:innen berichten von einer großen Anzahl
betroffener Geräte weltweit. Ursache für die hohe Erfolgsquote der
Angriffe ist unter anderem, dass Administrator:innen-Passwörter auf
FortiGate-Geräten bis zu den FortiOS-Versionen 7.2.11, 7.4.8 und 7.6.1
mit dem schwächeren SHA-256-Verfahren gehasht wurden. Auch nach einem
Update auf eine neuere FortiOS-Version bleiben bestehende Passwörter so
lange im älteren, leichter zu brechenden Format gespeichert, bis sich
die jeweilige Administratorin oder der jeweilige Administrator nach dem
Update erneut anmeldet. Erlangte Konfigurationsexporte ermöglichten es
den Angreifer:innen, die darin enthaltenen Passwort-Hashes offline
mittels Brute-Force-Angriffen zu kompromittieren.
Auswirkungen
Angreifer:innen mit gültigen, kompromittierten Zugangsdaten erhalten
administrativen Zugriff auf betroffene FortiGate-Geräte. Dies
ermöglicht unter anderem das Anlegen zusätzlicher lokaler
Administrator:innen-Konten zur Aufrechterhaltung des Zugriffs, das
Exportieren der Gerätekonfiguration, das Mitlesen von über das Gerät
laufendem VPN- und Authentifizierungsverkehr sowie die Vorbereitung
lateraler Bewegung in das interne Netzwerk, etwa in angebundene
Active-Directory-Umgebungen. Bei Telekommunikationsanbietern und
Managed Service Providern besteht zusätzlich das Risiko, dass über
kompromittierte Geräte auch Kundennetzwerke erreicht werden können.
Betroffene Systeme
* FortiGate-Geräte mit Administrator:innen-Konten, deren Passwörter
nicht seit einem Update auf FortiOS 7.2.11, 7.4.8, 7.6.1 oder neuer
durch eine erneute Anmeldung auf das PBKDF2-Hashverfahren
umgestellt wurden
* FortiGate- und weitere Fortinet-Geräte mit aus dem öffentlichen
Internet erreichbaren Management Interfaces oder SSL-VPN-Zugang
ohne Multi-Faktor-Authentifizierung
* Fortinet-Geräte, die möglicherweise bereits von früheren
Sicherheitsvorfällen betroffen waren (u. a. im Zusammenhang mit
CVE-2025-59718, CVE-2025-59719, CVE-2026-24858)
Abhilfe
Fortinet empfiehlt Betreiber:innen von FortiGate-Geräten folgende
Sofortmaßnahmen:
* Alle aktiven administrativen und VPN-Sitzungen beenden und
sämtliche administrativen und VPN-Passwörter zurücksetzen,
insbesondere auf aus dem Internet erreichbaren Systemen
* Multi-Faktor-Authentifizierung (MFA) für alle Administrator:innen-
und VPN-Benutzer:innen-Konten aktivieren
* Update auf eine aktuelle Version von FortiOS 7.4, 7.6 oder 8.0
durchführen. Diese Versionen unterstützen die PBKDF2-Hashfunktion
für Administrator:innen-Passwörter
* Nach dem Update sicherstellen, dass sich alle Administrator:innen
mindestens einmal neu anmelden, damit ihre Passwörter auf PBKDF2
umgehasht werden. Erfolgt dies nicht, verbleiben die schwächeren
SHA-256-Hashes weiterhin in der Konfiguration. Auf FortiOS 7.2.x
und 7.4.x kann zusätzlich die Option
login-lockout-upon-weaker-encryption in den Passwortrichtlinien
aktiviert werden, um das Verbleiben älterer Hashes zu verhindern
* Konfiguration auf nicht autorisierte Änderungen überprüfen,
idealerweise im Vergleich zu einer bekannt unveränderten
Konfiguration. Besonderes Augenmerk gilt unbekannten
Benutzer:innen-Konten, etwa mit Namen wie „forticloud“,
„fortiuser“, „fortinet-support“ oder „fortinet-tech-support“
* Logs auf unerwartete administrative Zugriffe von unbekannten
IP-Adressen sowie auf ungewöhnliche Aktivitäten in angebundenen
Domain-Controller-Logs überprüfen
* Externe administrative Erreichbarkeit der Geräte einschränken, etwa
durch Trusted Hosts, eine Local-In-Policy oder durch vollständige
Deaktivierung der administrativen Erreichbarkeit aus dem Internet
Bestehen Hinweise auf nicht autorisierte Änderungen an der
Konfiguration oder andere Kompromittierungsindikatoren, sollte das
betroffene Gerät als kompromittiert behandelt werden. In diesem Fall
empfiehlt Fortinet eine vollständige Überprüfung gemäß den eigenen
Empfehlungen zur Wiederherstellung kompromittierter Geräte sowie eine
Überprüfung angebundener Active-Directory-Umgebungen auf Hinweise zu
Authentifizierungsversuchen oder neu angelegten Konten.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Analysis of Reported Credential Compromise of FortiGate Devices –
Fortinet PSIRT Blog (Englisch)
[104]https://www.fortinet.com/blog/psirt-blogs/analysis-of-reported-cre
dential-compromise-of-fortigate-devices
An update on FortiBleed – what’s happening with victim orgs –
DoublePulsar (Englisch)
[105]https://doublepulsar.com/an-update-on-fortibleed-whats-happening-w
ith-victim-orgs-c0671a50e7f4
Technical Tip: Enforcing PBKDF2 as hash function for administrator
accounts in FortiOS v7.2.11 and later – Fortinet Community (Englisch)
[106]https://community.fortinet.com/fortigate-3/technical-tip-enforcing
-pbkdf2-as-hash-function-for-administrator-accounts-in-fortios-v7-2-11-
and-later-220652
FG-IR-25-647: Multiple Fortinet Products’ FortiCloud SSO Login
Authentication Bypass – Fortinet PSIRT (Englisch)
[107]https://www.fortiguard.com/psirt/FG-IR-25-647
FG-IR-26-060: Administrative FortiCloud SSO authentication bypass –
Fortinet PSIRT (Englisch)
[108]https://www.fortiguard.com/psirt/FG-IR-26-060
CERT.at Blog: Aktueller Stand rund um "FortiBleed"
[109]https://www.cert.at/de/blog/2026/6/aktueller-stand-rund-um-fortibl
eed
Mit freundlichen Grüßen,
Güneş Holler
--
// Güneş Holler <holler(a)cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
08.06.2026
Beschreibung
Checkpoint warnt vor beobachteten Angriffen gegen die Produkte
Checkpoint Security Gateway und Checkpoint Spark Firewall.
Auswirkungen
Die zugrunde liegende Sicherheitslücke CVE-2026-50751 erlaubt
unbefugten Zugriff auf das VPN.
Betroffene Systeme
Folgende Systeme sind von der Sicherheitslücke betroffen, sofern
IKEv1 aktiviert ist:
* Security Gateways:
+ R82.10 Jumbo Hotfix Take 19 or below
+ R82 Jumbo Hotfix Take 103 or below
+ R81.20 Jumbo Hotfix Take 141 or below
+ R81.10 (EOS)
+ R81 (EOS)
+ R80.40 (EOS)
* Spark Firewalls:
+ R80.20.X (EOS),
+ R81.10.X,
+ R82.00.X
Abhilfe
Checkpoint stellt für die unterschiedlichen Produkte Hotfixes bereit.
Im Advisory finden sich weiters auch Tipps zur Suche nach bereits
erfolten Angriffen sowie mitigierende Maßnahmen.
Sollten sich in ihren Systemen Hinweise auf eine bereits erfolgte
Kompromittierung zeigen bitten wir Sie mit uns Kontakt aufzunehmen.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Checkpoint Advisory zu CVE-2026-50571
https://support.checkpoint.com/results/sk/sk185033
Blog Artikel von Checkpoint zu den beobachteten Angriffen
https://blog.checkpoint.com/security/check-point-releases-important-hotfix-…
mit freundlichen Grüßen,
--
// Benedikt Olszewski <olszewski(a)cert.at> - T: +43 1 5056416 766
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien