FortiBleed ontrafeld: wat je moet weten over de grootschalige aanval op Fortinet apparaten

FortiBleed is geen zero-day, maar een massale aanval die Fortinet FortiGate firewalls en SSL VPN's treft via gelekte en gestolen inloggegevens. Ontdek de schaal, methoden en cruciale stappen om je organisatie te beschermen.

FortiBleed is een naam die de cyberbeveiligingswereld de afgelopen tijd in zijn greep heeft gehouden. Maar wat is het precies, en waarom is het zo’n zorgwekkende ontwikkeling voor duizenden organisaties wereldwijd die afhankelijk zijn van Fortinet-apparatuur? In dit artikel duiken we dieper in de kern van FortiBleed: een grootschalige campagne voor het compromitteren van inloggegevens die niet wordt aangedreven door een nieuwe kwetsbaarheid, maar door de herbruikbaarheid van gestolen, gelekte en gehackte wachtwoorden op industriële schaal.

Deze campagne heeft tienduizenden internetgerichte Fortinet FortiGate firewalls en SSL VPN-gateways getroffen, waardoor gevoelige netwerken openstaan voor ongeoorloofde toegang. Het is cruciaal om te begrijpen dat dit geen traditionele zero-day-exploit is, maar een sophisticated aanpak die de basisprincipes van identiteitsbeveiliging aanvalt.

FortiBleed uitgelegd: een identiteitsprobleem, geen firewallprobleem

Laten we meteen met het belangrijkste misverstand afrekenen: FortiBleed is geen zero-day kwetsbaarheid. Het is geen nieuw softwaredefect in Fortinet’s FortiOS-besturingssysteem, vergelijkbaar met de beruchte Heartbleed-bug. Er is geen nieuwe Common Vulnerabilities and Exposures (CVE) aan deze campagne gekoppeld.

De kern van FortiBleed ligt in het compromitteren en hergebruiken van inloggegevens. Aanvallers gebruiken een combinatie van:

• Credential stuffing: het massaal proberen van bekende gebruikersnaam-wachtwoordcombinaties die gelekt zijn bij eerdere datalekken.
• Brute-force aanvallen: geautomatiseerd proberen van talloze wachtwoordcombinaties.
• Offline kraken: het kraken van zwakke, versleutelde wachtwoorden die eerder zijn buitgemaakt.

Dit betekent dat de aanval fundamenteel draait om identiteitsbeveiliging. De Fortinet-firewall fungeert als de toegangspoort tot kritieke interne systemen, zoals Active Directory. Als die poort wordt geopend met gestolen sleutels, zijn de gevolgen verwoestend, ongeacht hoe robuust de firewall zelf is.

De verbazingwekkende schaal van de aanval

De impact van FortiBleed is werkelijk ongekend. Uit gelekte datasets blijkt dat werkende inloggegevens zijn buitgemaakt voor naar schatting 73.932 tot 86.000 Fortinet-apparaten verspreid over maar liefst 194 landen. Dit vertegenwoordigt ongeveer de helft van alle Fortinet-apparaten die via het internet bereikbaar zijn. En het meest zorgwekkende? Veel van deze inloggegevens zijn nog steeds geldig en de getroffen apparaten staan nog altijd online.

De omvang van de aanval is duidelijk:

• Wereldwijde dekking: bijna elk land op aarde is getroffen.
• Enorme hoeveelheid apparaten: duizenden organisaties lopen risico.
• Volhardende dreiging: veel gecompromitteerde apparaten blijven toegankelijk voor aanvallers.

Deze grootschalige operatie, met meer dan 1,16 miljard inlogpogingen, toont een nieuw niveau van automatisering en coördinatie bij cybercriminelen.

Waarom “volledig gepatcht” je niet beschermt

Een van de meest verraderlijke aspecten van FortiBleed is dat zelfs apparaten die op de nieuwste FortiOS-firmware draaien, kwetsbaar kunnen zijn. Fortinet heeft in recentere firmwareversies (zoals 7.2.11, 7.4.8, 7.6.1) sterkere PBKDF2-hashing geïntroduceerd voor wachtwoorden, een aanzienlijke verbetering ten opzichte van de oudere, zwakkere SHA-256-hashes.

Het probleem? Als beheerders niet opnieuw zijn ingelogd na de firmware-upgrade, blijven de oudere, makkelijk te kraken SHA-256-hashes bestaan in het systeem. Dit betekent dat je Fortinet-apparaat weliswaar “volledig gepatcht” kan zijn, maar je wachtwoorden nog steeds kwetsbaar zijn voor offline kraken. Dit benadrukt het belang van niet alleen het updaten van software, maar ook het valideren van de effectiviteit van die updates op alle lagen, inclusief wachtwoordopslag.

Geavanceerde aanvalstechnieken en automatisering

De FortiBleed-campagne staat symbool voor een verontrustende verschuiving in geautomatiseerde cyberaanvallen. Aanvallers gebruikten geavanceerde open-source AI-pentesting frameworks, zoals “CyberStrike” (beschikbaar op GitHub: github.com/CyberStrikeus/CyberStrike), voor autonome operaties. Dit toont aan dat AI en automatisering niet langer alleen het domein zijn van verdedigers, maar ook krachtige wapens worden in handen van aanvallers.

Een ander verontrustend aspect is de operationele feedbackloop. Zodra initiële toegang was verkregen tot een Fortinet-apparaat, gebruikten aanvallers de gecompromitteerde apparaten als passieve verkeerssensoren. Ze onderschepten netwerkverkeer (packet captures) om in real-time nieuwe inloggegevens en authenticatiegegevens te verzamelen. Deze vers werden geoogste gegevens werden vervolgens teruggevoerd in hun scan- en kraakoperaties, wat een zelfvoorzienend aanvalsmechanisme creëerde. Dit maakt de aanval moeilijk te stoppen, omdat elke succesvolle inbraak de aanvallers van brandstof voorziet voor verdere penetratie.

Bevestigde slachtoffers en de kwetsbaarheid van de telecomsector

De gelekte FortiBleed-datasets bevatten namen van vooraanstaande organisaties, waaronder Oracle, Samsung, Siemens, FedEx, PwC, Comcast en Accenture. Daarnaast is er melding gemaakt van een Turkse NAVO-defensieaannemer die volledig werd gecompromitteerd, met diefstal van geclassificeerde documenten. Dit onderstreept de ernst en de strategische waarde van de doelen die de aanvallers kiezen.

Bijzonder zorgwekkend is de blootstelling van de telecomsector. Met meer dan 5.600 vermeldingen in de dataset, loopt deze sector het grootste risico. Vanwege de fundamentele rol die telecombedrijven spelen voor andere kritieke sectoren (energie, transport, financiën), vormt een compromis hier een versterkt risico voor de gehele digitale infrastructuur.

Vendor reactie en onafhankelijke bevestiging

In eerste instantie suggereerde Fortinet dat de gelekte gegevens een herverdeling waren van eerdere incidenten. Onafhankelijke onderzoekers, waaronder Kevin Beaumont, SOCRadar, Hudson Rock en Arctic Wolf, hebben echter bevestigd dat de inloggegevens geldig en actueel zijn en dat de getroffen apparatenlijst aanzienlijk verschilt van eerdere lekken. Deze onafhankelijke validatie onderstreept de noodzaak voor organisaties om de dreiging serieus te nemen en direct actie te ondernemen.

De verschuiving naar een veiligere architectuur

FortiBleed belicht ook een bredere trend in de industrie. Fortinet zelf beweegt weg van internetgerichte SSL VPN’s, die in FortiOS 7.6.3 en latere versies worden vervangen door op standaarden gebaseerde IPsec VPN’s. Dit weerspiegelt een algemene verschuiving naar robuustere beveiligingsmodellen zoals:

• IPsec: Biedt sterkere cryptografische beveiliging en is een meer gevestigde standaard.
• Zero Trust Network Access (ZTNA): Dit model gaat ervan uit dat geen enkele gebruiker of apparaat automatisch vertrouwd mag worden, zelfs niet als deze zich binnen de perimeter bevindt. Elke toegangspoging wordt continu geverifieerd.
• Cloud-delivered security: Beveiligingsfunctionaliteiten worden vanuit de cloud geleverd, wat schaalbaarheid en flexibiliteit biedt.

Deze architecturale verschuiving is een directe reactie op het falen van traditionele perimeters en de toenemende complexiteit van de dreigingslandschappen.

Wat je nu moet doen: directe actie en langetermijnstrategieën

De implicaties van FortiBleed zijn duidelijk: onmiddellijke en doortastende actie is vereist. Hier zijn de cruciale stappen die jij en je organisatie moeten nemen:

Onmiddellijke actie vereist

• Sessies beëindigen en wachtwoorden resetten: Verbreek onmiddellijk alle actieve Fortinet VPN- en beheerderssessies. Reset vervolgens alle Fortinet VPN- en beheerderswachtwoorden.
• Phishing-resistente MFA afdwingen: Implementeer en handhaaf overal phishing-resistente multi-factor authenticatie (MFA), vooral voor alle beheerdersaccounts en VPN-toegang. Hardware tokens (FIDO2/WebAuthn) zijn hierbij de gouden standaard.
• Controleer je blootstelling: Maak gebruik van gratis tools zoals die van SOCRadar op socradar.io/free-tools/fortibleed om te controleren of jouw apparaten voorkomen in de gelekte dataset.

Technische audit en mitigatie

• Wachtwoord-hashing audit: Bevestig dat PBKDF2-opslag actief is voor al je Fortinet-gebruikers. Purgeer alle verouderde SHA-256-hashes door ervoor te zorgen dat alle beheerders na firmware-upgrades opnieuw inloggen, of door wachtwoorden handmatig bij te werken via een superbeheerderaccount.
• Verminder internetblootstelling: Haal de beheerinterfaces van Fortinet-apparaten van het openbare internet. Beheer deze alleen via een beveiligde, interne verbinding, eventueel via een jump-server of een andere vorm van Zero Trust Access.
• Proactief logboekonderzoek: Actief controleren van logbestanden op verdachte activiteiten is essentieel. Malafide aanmeldingen kunnen er succesvol uitzien. Voer grondige risico- en impactanalyses uit. Besteed ook aandacht aan de logboeken van je domeincontrollers (bijv. Active Directory), niet alleen die van de firewall, zoals CISA in hun waarschuwing van 18 juni benadrukte.

Strategische veranderingen voor langetermijnbeveiliging

• Overstap naar Zero Trust: FortiBleed onderstreept de dringende noodzaak om een Zero Trust-architectuur te omarmen. Dit betekent continue verificatie, het afdwingen van toegangsrechten met het laagste privilege, en het beperken van wat een geauthenticeerde sessie kan bereiken, in plaats van uitsluitend te vertrouwen op perimeterbeveiliging.
• Omarm wachtwoordloze authenticatie: Overweeg de overstap naar wachtwoordloze authenticatie, zoals op certificaten gebaseerde methoden of FIDO2-ondersteuning. Dit elimineert de inloggegevens als primair aanvalsoppervlak, de belangrijkste wapens in campagnes zoals FortiBleed.
• Betrek een beheerde beveiligingspartner: Samenwerken met een Managed Security Service Provider (MSP) of een gespecialiseerde cybersecurity-partner (zoals Logically of Portnox, die proactief inspelen op deze dreiging) kan je verdediging aanzienlijk versterken door continue monitoring en gelaagde toegangscontroles.
• Extra waakzaamheid voor telecomsector: Telecombedrijven moeten hun Fortinet-beveiligingshouding extra prioriteren. De potentiële wijdverspreide downstream-impact op kritieke infrastructuur is hierbij van cruciaal belang.

Conclusie: Identiteitsbeveiliging is de nieuwe perimeter

FortiBleed is een duidelijke wake-upcall voor elke organisatie die afhankelijk is van Fortinet-apparatuur, en eigenlijk voor elke organisatie die geconfronteerd wordt met de realiteit van het moderne dreigingslandschap. Het laat zien dat zelfs de meest geavanceerde firewalls geen bescherming bieden wanneer de inloggegevens van beheerders worden gecompromitteerd.

Het probleem is niet de firewall, maar de identiteit. De oplossing ligt in een proactieve, gelaagde benadering van beveiliging, met een sterke nadruk op robuuste wachtwoordprotocollen, meervoudige authenticatie, voortdurende monitoring en de adoptie van Zero Trust-principes. Door deze stappen te nemen, kun je je organisatie niet alleen beschermen tegen de huidige FortiBleed-dreiging, maar ook tegen toekomstige, steeds geavanceerdere cyberaanvallen die gericht zijn op de zwakste schakel: de mens en zijn inloggegevens.