FortiBleed: Waarschuwing voor grootschalige compromis van Fortinet firewalls

Ontdek alles over de FortiBleed-campagne, een massaal datalek dat tienduizenden Fortinet FortiGate firewalls treft. Leer over de oorzaken, de impact en essentiële stappen voor beveiliging.

De digitale wereld staat in rep en roer door de “FortiBleed”-campagne, een grootschalige aanval die tienduizenden internetgerichte Fortinet FortiGate firewalls en SSL VPN gateways wereldwijd treft. Deze lopende campagne, voor het eerst gemeld medio juni 2026, maakt gebruik van eerder gestolen of gelekte inloggegevens en geavanceerde automatisering, in plaats van een ‘zero-day’ kwetsbaarheid. Organisaties worden hierdoor blootgesteld aan aanzienlijke en directe risico’s.

Geschat wordt dat de FortiBleed-campagne ongeveer de helft van alle Fortinet-apparaten die online bereikbaar zijn, treft, verspreid over 194 landen. Dit is een wake-up call die het belang van robuuste cyberhygiëne en geavanceerde beveiligingsstrategieën benadrukt.

Wat is FortiBleed en waarom is het zo zorgwekkend?

In tegenstelling tot wat veel mensen misschien denken, is FortiBleed geen exploitatie van een nieuwe kwetsbaarheid of ‘zero-day’. Er is geen nieuwe CVE (Common Vulnerabilities and Exposures) betrokken. Wat de campagne zo gevaarlijk maakt, is de schaal waarop inloggegevens worden misbruikt, een fenomeen dat bekend staat als ‘credential stuffing’ en ‘credential reuse’.

De aanvallers maken gebruik van:

• Industriële schaal van credential stuffing: Meer dan 1 miljard inlogpogingen zijn gedetecteerd, waarbij een combinatie van gelekte en gestolen gebruikersnamen en wachtwoorden wordt gebruikt.
• Offline kraken van zwakke hashes: Fortinet FortiOS, het besturingssysteem voor FortiGate-apparaten, kan in bepaalde scenario’s zwakke SHA-256 wachtwoordhashes behouden, zelfs na upgrades. Deze hashes zijn relatief eenvoudig offline te kraken met voldoende computerkracht.

De kwetsbaarheid van SHA-256 hashes: waarom patchen niet genoeg is

Een van de meest verontrustende bevindingen is dat zelfs na het uitvoeren van een FortiOS-upgrade, zwakke SHA-256 wachtwoordhashes kunnen blijven bestaan. Dit gebeurt wanneer een beheerder na de upgrade niet handmatig inlogt, waardoor de migratie naar sterkere PBKDF2-hashing (Password-Based Key Derivation Function 2) niet wordt geactiveerd. Dit betekent dat je FortiGate-apparaat weliswaar de nieuwste firmwareversie draait, maar nog steeds kwetsbare inloggegevens kan bevatten die gemakkelijk te kraken zijn.

De omvang van de compromittering is immens, met rapporten die spreken over:

• ~73.932 (LinkedIn/Cynet) tot 86.000 (Portnox) werkende inloggegevens voor internetgerichte Fortinet FortiGate firewalls en SSL VPN gateways.
• Dit vertegenwoordigt ongeveer de helft van alle Fortinet-apparaten die wereldwijd op het internet te vinden zijn.

Wie zit er achter FortiBleed en hoe werkt de aanval?

De aanvallers achter FortiBleed zijn verre van amateuristisch. Ze maken gebruik van geavanceerde technieken en instrumenten:

• Geautomatiseerde en geavanceerde dreigingsactoren: Ze gebruiken onder andere een open-source AI pentesting framework genaamd CyberStrike voor autonome operaties.
• Toegewijd kraakcluster: Een krachtig cluster van 45 GPU’s wordt ingezet voor het offline kraken van de zwakke SHA-256 hashes, met meer dan 1,16 miljard inlogpogingen.
• De ‘feedback loop’: Een bijzonder ingenieuze techniek waarbij gecompromitteerde apparaten worden ingezet als ‘verkeerssensoren’. Deze sensoren oogsten nieuwe inloggegevens, die vervolgens terug worden gevoerd naar de scanner om nog meer apparaten te compromitteren. Dit creëert een exponentieel groeiende aanval.
• Russische oorsprong: De hackgroep wordt vermoedelijk van Russische origine te zijn, gezien het gebruik van Russische taalgebaseerde tooling en gerichte aanvalspatronen.

Diverse dreigingsniveaus: van cybercriminelen tot staatsactoren

De pool van gecompromitteerde inloggegevens wordt door verschillende soorten dreigingsactoren gebruikt:

• Lager-niveau criminele actoren: Voor opportunistische monetarisatie, zoals het verkopen van toegang op ondergrondse fora.
• Geavanceerde, mogelijk staatsgelieerde actoren: Voor gerichte spionage en intrusie-operaties. Dit wordt bevestigd door het gebruik van tunneling tools zoals Chisel en Neo-reGeorg, die eerder zijn waargenomen in staatsgesponsorde campagnes zoals Volt Typhoon.

Wie wordt getroffen en wat zijn de risico’s?

De impact van FortiBleed is breed en diepgaand. De gecompromitteerde organisaties omvatten:

• Overheden en kritieke infrastructuur: Ziekenhuizen, energiecentrales en andere vitale sectoren.
• Grote ondernemingen: Fortune 500-bedrijven zoals Oracle, Samsung, Siemens, FedEx, PwC, Comcast en Accenture.
• Managed Service Providers (MSPs): Door hun toegang tot meerdere klantomgevingen lopen zij een verhoogd risico, wat de impact exponentieel kan vergroten.
• Telecommunicatiesector: Deze sector wordt onevenredig zwaar getroffen, met meer dan 5.600 vermeldingen in de dataset. Dit leidt tot een versterkt ‘blast radius’, omdat vele andere sectoren (banken, gezondheidszorg, overheid) afhankelijk zijn van telecomdiensten.
• Zelfs Fortinet zou naar verluidt in de gelekte lijst voorkomen. Een Turks NAVO-defensiebedrijf zou zelfs volledig zijn gecompromitteerd, met diefstal van geheime documenten tot gevolg.

De FortiGate als ‘voordeur’: verdergaande compromittering

FortiGate firewalls, als perimeterapparaten, fungeren als de ‘voordeur’ tot interne netwerken, inclusief Active Directory. Een compromittering van deze apparaten geeft aanvallers controle over de netwerkgrens, wat hen in staat stelt om:

• Firewallregels aan te passen.
• VPN-verkeer te onderscheppen.
• Backdoors te creëren.
• Verdere aanvallen voor te bereiden en uit te voeren binnen je netwerk. Dit is dus veel meer dan alleen een ‘firewallprobleem’; het is een fundamenteel identiteitsprobleem dat je hele digitale infrastructuur bedreigt.

Fortinet’s standpunt versus de bevindingen van experts

Terwijl Fortinet de incidenten naar verluidt heeft afgedaan als een “opnieuw delen van gegevens van eerdere incidenten”, bevestigen onafhankelijke onderzoekers (waaronder Kevin Beaumont, SOCRadar, Hudson Rock en Arctic Wolf) de geldigheid en actualiteit van de inloggegevens. Bovendien wijst hun onderzoek uit dat de getroffen set apparaten aanzienlijk verschilt van eerdere lekken en dat veel systemen de meest recente firmware draaien. Dit onderstreept de noodzaak om de dreiging serieus te nemen, ongeacht de officiële communicatie.

Actie ondernemen: essentiële remediatiestappen

De ernst van FortiBleed vereist onmiddellijke en proactieve actie. Hier zijn de cruciale stappen die je organisatie moet nemen:

1. Onmiddellijke wachtwoordrotatie

Verander de inloggegevens (beheerders- en VPN-wachtwoorden) voor alle FortiGate-apparaten, ongeacht of er een bevestigde compromittering is. Doe dit onmiddellijk, niet tijdens de standaard onderhoudsperioden.

2. Correcte patching en afdwingen van sterkere hashing

Een FortiOS-upgrade alleen is onvoldoende. Beheerders moeten na de upgrade inloggen om de migratie naar PBKDF2-gebaseerde wachtwoordhashing te activeren. Zorg er ook voor dat specifieke wachtwoordbeleidsinstellingen zijn ingeschakeld:

• login-lockout-upon-weaker-encryption voor FortiOS 7.6.x
• login-lockout-upon-downgrade voor FortiOS 7.2.x en 7.4.x

3. Verbeterde toegangscontrole en MFA

• Verplaats management interfaces: Haal beheerinterfaces van FortiGate-apparaten van het openbare internet. Beperk toegang tot vertrouwde interne IP-adressen, alleen-VPN-administratie of out-of-band netwerken.
• MFA afdwingen: Multi-Factor Authenticatie (MFA) moet verplicht worden gesteld voor alle administratieve en externe toegangsaccounts. Dit voegt een cruciale tweede laag van beveiliging toe.

4. Actieve dreigingsdetectie en loganalyse

Je moet proactief logboeken controleren op tekenen van ongeautoriseerde toegang, post-compromitteringsactiviteit, onbekende IP-adressen of nieuw gecreëerde backdoor-accounts. Malafide aanmeldingen kunnen er ogenschijnlijk succesvol uitzien. CISA adviseert om op 18 juni niet alleen firewall-logboeken, maar ook logboeken van domeincontrollers te controleren, aangezien dit een indicatie kan zijn van interne bewegingen na een succesvolle inbraak via de firewall.

5. Omarming van zero trust principes

FortiBleed versterkt de boodschap dat het vertrouwen in een ondoordringbare perimeter een gebrekkige beveiligingshouding is. Implementeer Zero Trust-principes, waaronder:

• Continue verificatie.
• Minimale privileges.
• Beperking van wat geauthenticeerde sessies kunnen bereiken.

6. De overweging van wachtwoordloze authenticatie

Door wachtwoordloze authenticatie (bijv. op basis van certificaten of FIDO2) te implementeren, elimineer je inloggegevens als aanvalsoppervlak. Dit verwijdert het primaire wapen dat wordt gebruikt in campagnes zoals FortiBleed.

7. Risicobeoordeling van de toeleveringsketen

De brede impact van FortiBleed benadrukt de noodzaak om de blootstelling van derden in je gehele leveranciersnetwerk te beoordelen. Een zwakke schakel bij een partner kan jouw organisatie in gevaar brengen.

Beschikbare tools

SOCRadar biedt een gratis tool (socradar.io/free-tools/fortibleed) waarmee je kunt controleren of je apparaten voorkomen in de dataset met gecompromitteerde FortiBleed-gegevens. Dit is een nuttig startpunt voor je remediatietraject.

Conclusie

De FortiBleed-campagne is een ernstige herinnering aan de voortdurende en evoluerende aard van cyberdreigingen. Hoewel het geen ‘zero-day’ betreft, toont de geavanceerde en grootschalige aanpak van de daders de kwetsbaarheid van zelfs goed beheerde infrastructuren aan wanneer elementaire cyberhygiëne en credential management tekortschieten. De impact is wereldwijd en treft kritieke sectoren.

Het is essentieel dat je organisatie deze dreiging serieus neemt en onmiddellijk de aanbevolen stappen voor wachtwoordrotatie, correcte patching, verbeterde toegangscontrole en actieve dreigingsdetectie uitvoert. Door een proactieve houding aan te nemen en je beveiligingsstrategieën aan te passen aan de lessen van FortiBleed, kun je je veerkracht tegen toekomstige aanvallen aanzienlijk vergroten.