Eine Firewall, die den eigenen Verkehr mitlas
Das Detail, das FortiBleed von einer routinemäßigen Warnung unterscheidet, ist die Herkunft der Zugangsdaten. Ein eigens gebautes Werkzeug, das die Forscher FortigateSniffer nennen, missbraucht den in FortiOS eingebauten Paket-Diagnosebefehl, dieselbe Funktion, die ein Administrator zur Fehlersuche nutzt, um Authentifizierungsverkehr über rund zwei Dutzend Protokolle passiv abzufangen. Keine neue Schwachstelle ist nötig. Das Gerät, das den Perimeter schützen sollte, wurde zum Instrument, das die durchlaufenden Anmeldungen mitlas.
SOCRadar verfolgte die Operation bis ins Ransomware-Umfeld, nachdem ein einzelner Akteur zugleich in den Verhandlungspanels von INC Ransom und Lynx eingeloggt war. CISA drängte am 18. Juni nach den ersten Berichten über offengelegte Zugangsdaten auf eine Härtung der Fortinet-Geräte, und das eigene Produktsicherheitsteam von Fortinet veröffentlichte eine Analyse der Kompromittierung.
Die Zahlen hinter der Kampagne
Frühe Berichte von Recorded Future und Help Net Security bezifferten die Offenlegung auf rund 74.000 FortiGate-Systeme. Eine spätere Analyse von SOCRadar weitete das Bild auf 430.000 anvisierte Geräte aus, etwa die Hälfte aller aus dem Internet erreichbaren Fortinet-Hardware, und 86.644 geprüfte funktionierende Zugangsdaten aus 194 Ländern. Ein Abgleich der FortiBleed-Server mit einem separaten, mit INC verknüpften offenen Verzeichnis fand dieselben Opferorganisationen in beiden Datensätzen, die Signatur einer gemeinsamen Zulieferkette.
Mindestens 12 bestätigte Ransomware-Einsätze lassen sich bereits direkt auf den FortiBleed-Zugang zurückführen, mit hunderten verschlüsselten Endpunkten. INC Ransom ist seit Juli 2023 aktiv und hat sich zu mehr als 800 Opfern bekannt, was es nach bestätigter Zahl zu einer der produktivsten Ransomware-as-a-Service-Operationen macht. Die Ernte der Zugangsdaten ist keine Warnung vor dem, was passieren könnte; sie ist das vordere Ende von Angriffen, die bereits stattgefunden haben.
Patchen ist diesmal nicht die Lösung
Weil der Zugang eine gültige Zugangsberechtigung ist und keine ungepatchte Lücke, versagt der übliche Reflex. Eine FortiGate mit neuester Firmware und einem offengelegten VPN-Konto bleibt eine offene Tür, und sie bleibt offen, bis dieses Konto rotiert wird. Die nötigen Maßnahmen sind die Rotation der Zugangsdaten auf jedem Firewall- und VPN-Konto, die durchgesetzte Mehrfaktor-Authentifizierung beim Fernzugriff sowie die abgeschaltete oder eng überwachte Paketmitschnitt-Diagnose dort, wo sie nicht gebraucht wird.
Die sichere Annahme für jedes Gerät im offengelegten Bestand ist, dass seine Zugangsdaten geleakt sind und es als kompromittiert zu behandeln ist, bis das Gegenteil bewiesen ist. Das verschiebt die Arbeit von einem Patch-Zyklus hin zu einer Identitätsbereinigung, die langsamer und weniger befriedigend ist und als Einziges die Tür tatsächlich schließt.
Nach NIS2 gehört die Uhr Ihnen
Für europäische Betreiber ist die regulatorische Kante scharf. Nach NIS2 ist ein Vorfall, der über ein Edge-Gerät eines Drittanbieters in Ihr Netzwerk gelangt, Ihr meldepflichtiges Ereignis, mit einer Frühwarnung binnen 24 Stunden und einer ausführlicheren Meldung binnen 72. Finanzunternehmen tragen die parallelen Pflichten aus DORA. Die Haftung liegt nicht bei Fortinet oder bei der Ransomware-Bande; sie liegt bei der Organisation, die kompromittiert wurde.
Der KPI, der jetzt zählt, ist nicht, ob die Firewall gepatcht ist, sondern wie schnell jede Zugangsberechtigung darauf rotiert werden kann. Teams, die bereits davon ausgehen, dass ihre Edge-Anmeldungen geleakt sind, und Rotation sowie MFA auf Abruf nachweisen können, sind jene, die ihren eigenen Namen nicht im nächsten Ransomware-Eintrag lesen werden.
Weiterlesen: Ein gefälschtes Token öffnet jeden verwalteten PC | Eine KI fuehrte einen ganzen Ransomware-Angriff allein



